Les chercheurs en cybersécurité ont détaillé une vulnérabilité de sécurité de haute gravité récemment corrigée dans le populaire Bibliothèque Fastjson qui pourraient être potentiellement exploitées pour réaliser l’exécution de code à distance.
Suivi comme CVE-2022-25845 (score CVSS : 8,1), la publier concerne un cas de désérialisation des données non fiables dans une fonctionnalité prise en charge appelée « AutoType ». Il a été corrigé par les mainteneurs du projet en version 1.2.83 sortie le 23 mai 2022.
« Cette vulnérabilité affecte toutes les applications Java qui reposent sur Fastjson versions 1.2.80 ou antérieures et qui transmettent des données contrôlées par l’utilisateur aux API JSON.parse ou JSON.parseObject sans spécifier un spécifique classer désérialiser », Uriya Yavnieli de JFrog a dit dans un écrit.
Fastjson est une bibliothèque Java utilisée pour convertir des objets Java en leur JSON représentation et inversement. Autotypela fonction vulnérable à la faille, est activée par défaut et est conçue pour spécifier un type personnalisé lors de l’analyse d’une entrée JSON qui peut ensuite être désérialisé dans un objet de la classe appropriée.
« Cependant, si le JSON désérialisé est contrôlé par l’utilisateur, son analyse avec AutoType activé peut entraîner un problème de sécurité de désérialisation, car l’attaquant peut instancier n’importe quelle classe disponible sur le Chemin de classeet alimente son constructeur avec des arguments arbitraires », a expliqué Yavnieli.
Alors que les propriétaires du projet ont précédemment introduit un safeMode qui désactive la saisie automatique et a commencé à maintenir un liste de blocage des classes pour se défendre contre les failles de désérialisation, la faille nouvellement découverte contourne la dernière de ces restrictions pour entraîner l’exécution de code à distance.
Il est recommandé aux utilisateurs de Fastjson de mettre à jour vers la version 1.2.83 ou d’activer safeMode, qui désactive la fonction quelle que soit la liste d’autorisation et la liste de blocage utilisées, fermant efficacement les variantes de l’attaque de désérialisation.
« Bien qu’un exploit de PoC public existe et l’impact potentiel est très élevé (exécution de code à distance), les conditions de l’attaque ne sont pas triviales (transmission d’entrées non fiables à des API vulnérables spécifiques) et, plus important encore, une recherche spécifique à la cible est nécessaire pour trouver une classe de gadget appropriée à exploiter » dit Yavnieli.