Une faille de sécurité de haute gravité a été révélée dans l’outil open source de nettoyage et de transformation des données OpenRefine, qui pourrait entraîner l’exécution de code arbitraire sur les systèmes concernés.
Suivi comme CVE-2023-37476 (score CVSS : 7,8), la vulnérabilité est une vulnérabilité Zip Slip qui pourrait avoir des impacts négatifs lors de l’importation d’un projet spécialement conçu dans les versions 3.7.3 et inférieures.
« Bien qu’OpenRefine soit conçu pour s’exécuter uniquement localement sur la machine d’un utilisateur, un attaquant peut tromper un utilisateur en lui faisant importer un fichier de projet malveillant », a déclaré Stefan Schiller, chercheur en sécurité chez Sonar. dit dans un rapport publié la semaine dernière. « Une fois ce fichier importé, l’attaquant peut exécuter du code arbitraire sur la machine de l’utilisateur. »
Les logiciels sujets aux vulnérabilités Zip Slip peuvent ouvrir la voie à l’exécution de code en tirant parti d’un bug de traversée de répertoire qu’un attaquant peut exploiter pour accéder à des parties du système de fichiers qui autrement devraient être hors de portée.
L’attaque repose sur deux éléments mobiles : une archive malveillante et un code d’extraction qui n’effectue pas de vérification de validation adéquate, ce qui peut permettre d’écraser des fichiers ou de les décompresser vers des emplacements involontaires.
Les fichiers extraits peuvent être invoqués à distance par l’adversaire ou par le système (ou l’utilisateur), entraînant l’exécution d’une commande sur la machine de la victime.
La vulnérabilité identifiée dans OpenRefine va dans le même sens dans la mesure où la méthode « untar » pour extraire les fichiers de l’archive permet à un acteur malveillant d’écrire des fichiers en dehors du dossier de destination en créant une archive avec un fichier nommé « ../../. ./../tmp/pwned. »
Suite à une divulgation responsable le 7 juillet 2023, la vulnérabilité a été corrigée dans version 3.7.4 sorti le 17 juillet 2023.
« La vulnérabilité donne aux attaquants une puissante primitive : écrire des fichiers avec un contenu arbitraire à un emplacement arbitraire sur le système de fichiers », a déclaré Schiller.
« Pour les applications exécutées avec les privilèges root, il existe des dizaines de possibilités pour transformer cela en exécution de code arbitraire sur le système d’exploitation : ajouter un nouvel utilisateur au fichier passwd, ajouter une clé SSH, créer une tâche cron, et bien plus encore. »
La divulgation intervient alors que le code d’exploitation de preuve de concept (PoC) a été fait surface pour un deux failles maintenant corrigées dans Microsoft SharePoint Server – CVE-2023-29357 (score CVSS : 9,8) et CVE-2023-24955 (score CVSS : 7,2) – qui pourrait être enchaîné pour obtenir une élévation de privilèges et une exécution de code à distance.
Cela fait également suite à une alerte de Cyfirma avertissant d’un bug de haute gravité dans Apache NiFi (CVE-2023-34468score CVSS : 8,8) qui permet l’exécution de code à distance via des chaînes de connexion à la base de données H2 malveillantes. Il a été résolu dans Apache NiFi 1.22.0.
« L’impact de cette vulnérabilité est grave, car elle donne aux attaquants la possibilité d’accéder sans autorisation aux systèmes, d’exfiltrer des données sensibles et d’exécuter du code malveillant à distance », a déclaré la société de cybersécurité. dit. « Un attaquant pourrait exploiter cette faille pour compromettre l’intégrité des données, perturber les opérations et potentiellement causer des dommages financiers et de réputation. »