Un code de preuve de concept (PoC) démontrant une vulnérabilité de contournement de signature numérique récemment révélée dans Java a été partagé en ligne.
Le faille de grande gravité Dans la question, CVE-2022-21449 (score CVSS : 7,5), affecte la version suivante de Java SE et Oracle GraalVM Enterprise Edition –
- Oracle Java SE : 7u331, 8u321, 11.0.14, 17.0.2, 18
- Oracle GraalVM Enterprise Edition : 20.3.5, 21.3.1, 22.0.0.2
Le problème réside dans l’implémentation par Java de l’algorithme de signature numérique à courbe elliptique (ECDSA), un mécanisme cryptographique pour signer numériquement messages et données permettant de vérifier l’authenticité et l’intégrité du contenu.
En un mot, la bévue cryptographique – surnommée Psychic Signatures en Java – permet de présenter une signature totalement vierge, qui serait toujours perçue comme valide par l’implémentation vulnérable.
L’exploitation réussie de la faille pourrait permettre à un attaquant de falsifier des signatures et de contourner les mesures d’authentification mises en place.
Le PoC, publié par le chercheur en sécurité, Khaled Nassar implique un client vulnérable et un serveur TLS malveillant, dont le premier accepte une signature invalide du serveur, permettant effectivement au Prise de contact TLS continuer sans entrave.
« Il est difficile d’exagérer la gravité de ce bogue », a déclaré le chercheur de ForgeRock Neil Madden, qui a découvert et signalé la faille le 11 novembre 2021, mentionné.
« Si vous utilisez des signatures ECDSA pour l’un de ces mécanismes de sécurité, un attaquant peut les contourner de manière triviale et complète si votre serveur exécute une version Java 15, 16, 17 ou 18. »
Le problème a depuis été résolu par Oracle dans le cadre de sa mise à jour trimestrielle du correctif critique (CPU) d’avril 2022. publié le 19 avril 2022.
À la lumière de la publication du PoC, il est recommandé aux organisations qui utilisent Java 15, Java 16, Java 17 ou Java 18 dans leurs environnements de hiérarchiser les correctifs pour atténuer l’exploitation active.