Dans ce bulletin, le CERT-FR souhaitait apporter son éclairage sur deux faits marquants récents ayant fait l’objet de différentes communications sur Internet.
TsuNAME : risque d’attaque par déni de service sur les serveurs de noms des zones DNS opérant de la délégation de zone
Faits :
Le 6 mai 2021, des chercheurs des entreprises SIDN Labs, InternetNZ et de l’Institut des sciences de l’information de l’Université de Californie du Sud ont publié un rapport décrivant TsuNAME ([1]), un problème de configuration de zones DNS ou des zones DNS pour lesquelles une délégation a été octroyée. Ainsi, en l’absence d’un mécanisme de cache ou de détection des boucles de délégation sur les résolveurs DNS récursifs, ces derniers vont interroger en boucle les serveurs faisant autorité sur la zone parente des zones affectées par le cycle de délégation et ainsi générer un volume important de requêtes pouvant provoquer un déni de service. Cette attaque peut être amplifiée en impliquant de nombreux résolveurs afin de saturer de requêtes les serveurs DNS faisant autorité sur la zone parente ciblée.
Les chercheurs à l’origine de la découverte ont mis à disposition un outil, non vérifié par l’ANSSI, visant à détecter les éventuels cycles de délégation pour les opérateurs de zones DNS. Cet outil nécessite l’annuaire complet des zones déléguées et parcourt toutes les déclarations de délégation pour y trouver les éventuels cycles.
Systèmes affectés :
Les résolveurs DNS n’implémentant pas ou insuffisamment de mécanismes de cache ou de détection de boucle. Ceux-ci peuvent alors servir de levier pour la conduite d’attaque par déni de service contre les zones DNS présentant des zones déléguées et exhibant un cycle de délégation.
Organisations impactées :
Toute organisation opérant une zone DNS avec des délégations DNS sur des domaines exhibant des dépendances cycliques sur les déclarations de serveurs de noms faisant autorité (délégation).
Recommandations :
L’ANSSI recommande de vérifier l’absence de cycles de délégation dans les zones déléguées et de mettre en place une procédure récurrente et fréquente de vérification en ce sens afin de pallier le comportement des résolveurs publics affectés et ainsi prévenir les risques d’exploitation malveillante. L’ANSSI recommande en outre d’appliquer les bonnes pratiques pour l’acquisition et l’exploitation des noms de domaines [2], et plus globalement de maintenir à jour les versions des logiciels de serveur DNS déployés afin de s’assurer qu’ils ne présentent pas un comportement de répétition infinie des cycles de délégation des zones DNS mal configurées. L’ANSSI recommande enfin d’appliquer rapidement les correctifs de sécurité publiés par les éditeurs afin de prévenir leur exploitation à des fins malveillantes.
La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.
Liens :
- [1] https://tsuname.io/tech_report.pdf
- [2] https://www.ssi.gouv.fr/uploads/2014/05/guide_dns_anssi_1.2.pdf
Compromission de l’éditeur Codecov
Faits :
Dans un communiqué publié sur son site Internet le 15 avril 2021 [3], la PME américaine d’audit de logiciels Codecov a déclaré avoir été informée le 1er avril 2021 qu’un attaquant non identifié avait modifié son script d’envoi de rapports Bash Uploader. Ce script est l’outil que les clients de Codecov utilisent afin de cartographier les environnements de développement et envoyer des rapports de couverture de code vers la plateforme de Codecov.
Les investigations de Codecov, appuyé par un prestataire de cybersécurité, indiquent que l’attaquant a exploité une vulnérabilité dans le processus de création d’image Docker de Codecov lui permettant de récupérer les identifiants nécessaires pour modifier Bash Uploader. Plusieurs altérations périodiques ont été faites par l’attaquant à partir du 31 janvier 2021. Ces altérations auraient notamment permis de transmettre les détails de l’environnement des clients vers un serveur extérieur à l’infrastructure de Codecov, sous le contrôle de l’attaquant.
Evaluation des impacts potentiels et avérés :
A l’heure actuelle, les éditeurs de logiciels Hashicorp et Twilio ont confirmé avoir été affectés et ont révoqué leurs clés privées de signature. Cependant, Codecov revendique 29000 entreprises clientes, notamment Atlassian et IBM.
Bash Uploader n’est pas l’unique outil affecté par cet incident. En effet, des outils comme Codecov-actions uploader pour GitHub, CircleCl Orb et Bitrise Step qui utilisent le script de Bash Uploader sur GitHub sont également affectés, suggérant un nombre de victimes potentiellement plus important.
Les impacts potentiels sont actuellement difficiles à évaluer. Toutefois des exfiltrations de données sensibles voire confidentielles sont très probables. En effet, l’une des versions du script malveillant était conçue pour envoyer toutes les variables d’environnement dans le contexte d’exécution vers un serveur externe. Compte-tenu des informations recueillies par Bash Uploader, Codecov indique que l’auteur de la compromission aurait pu utiliser la version malveillante pour exporter les données sensibles suivantes :
- Toutes les informations d’identification, tous les tokens ou toutes les clés que les clients de Codecov faisaient transiter dans leur environnement d’intégration continue et qui seraient accessibles lors de l’exécution du script Bash Uploader.
- Tous les services, datastores et codes d’application auxquels il est possible d’accéder avec les identifiants, tokens ou clés.
- Les informations git distantes (URL du dépôt d’origine) des dépôts utilisant les Bash Uploaders pour télécharger la couverture vers Codecov dans CI.
Recommandations :
- Installer la dernière version de Bash Uploader
- En raison de ce risque potentiel, Codecov recommande à ses clients de re-enregistrer tous leurs identifiants, tokens/jetons et clés présents dans leurs environnements et processus d’intégration continue qui reposaient sur Bash Uploader.
- Les clients utilisant une version locale du script doivent remplacer les fichiers bash par la dernière version du script de Codecov.
Liens :
Rappel des avis émis
Dans la période du 10 au 16 mai 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-ALE-009 : [MàJ] Vulnérabilité dans Microsoft Windows
- CERTFR-2021-ALE-010 : Vulnérabilité dans Adobe Acrobat et Acrobat Reader
- CERTFR-2021-AVI-355 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-356 : Multiples vulnérabilités dans les produits SAP
- CERTFR-2021-AVI-357 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-358 : Vulnérabilité dans VMware ONE UEM console
- CERTFR-2021-AVI-359 : Multiples vulnérabilités dans F5 BIG-IQ
- CERTFR-2021-AVI-360 : Multiples vulnérabilités dans Adobe Acrobat et Acrobat Reader
- CERTFR-2021-AVI-361 : Vulnérabilité dans Citrix Worspace App
- CERTFR-2021-AVI-362 : Vulnérabilité dans Pulse Secure Virtual Traffic Manager
- CERTFR-2021-AVI-363 : Multiples vulnérabilités dans les produits Juniper
- CERTFR-2021-AVI-364 : Multiples vulnérabilités dans les produits Aruba
- CERTFR-2021-AVI-365 : Vulnérabilité dans Microsoft IE
- CERTFR-2021-AVI-366 : Multiples vulnérabilités dans Microsoft Office
- CERTFR-2021-AVI-367 : Multiples vulnérabilités dans Microsoft Windows
- CERTFR-2021-AVI-368 : Vulnérabilité dans Microsoft .Net
- CERTFR-2021-AVI-369 : Multiples vulnérabilités dans les produits Microsoft
- CERTFR-2021-AVI-370 : [SCADA] Multiples vulnérabilités dans les produits Schneider
- CERTFR-2021-AVI-371 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-372 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2021-AVI-373 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-374 : Multiples vulnérabilités dans Tenable Nessus
- CERTFR-2021-AVI-375 : Multiples vulnérabilités dans les produits Wifi Intel
- CERTFR-2021-AVI-376 : Multiples vulnérabilités dans Magento
- CERTFR-2021-AVI-377 : Vulnérabilité dans Belden HiOS et HiSecOS
- CERTFR-2021-AVI-378 : Multiples vulnérabilités dans WordPress
- CERTFR-2021-AVI-379 : Multiples vulnérabilités dans les produits Qnap
- CERTFR-2021-AVI-380 : Vulnérabilité dans SonicWall Email Security Virtual Appliance
- CERTFR-2021-AVI-381 : Multiples vulnérabilités dans PostgreSQL
- CERTFR-2021-AVI-382 : Vulnérabilité dans MongoDB
- CERTFR-2021-AVI-383 : Multiples vulnérabilités dans Microsoft Edge
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2021-ALE-001 : |MàJ] Vulnérabilité dans SonicWall SMA100
- CERTFR-2021-ALE-003 : [MàJ] Vulnérabilité dans VMware vCenter Server
- CERTFR-2021-ALE-005 : Multiples vulnérabilités dans Microsoft DNS server
