Cisco Talos, l’unité de renseignement en sécurité de Cisco, a publié un article détaillé sur les vulnérabilités critiques découvertes par Tim Brown, chercheur en sécurité chez Cisco Talos, dans la plateforme Unix IBM AIX. Ces vulnérabilités pourraient permettre à des attaquants de cibler des systèmes avec des privilèges élevés en injectant des commandes et des journaux malveillants.
La première vulnérabilité, TALOS-2023-1690 (CVE-2023-26286), est une vulnérabilité dans la fonctionnalité syscall errlog() d’AIX. En envoyant un syscall spécialement conçu, un attaquant peut générer des journaux arbitraires qui peuvent déclencher l’exécution de commandes malveillantes avec des privilèges élevés. Cette vulnérabilité pourrait également entraîner un accès à la mémoire hors limites.
La deuxième vulnérabilité, TALOS-2023-1691 (CVE-2023-28528), est présente dans l’exécutable binaire setUID invscout d’AIX. Dans ce cas, l’attaquant peut envoyer un argument de ligne de commande spécialement conçu pour obtenir la capacité d’injecter des commandes arbitraires.
La vulnérabilité errlog() est plus notable que la vulnérabilité invscout car elle permet à l’attaquant d’exploiter un mécanisme de persistance. L’entrée malveillante est fournie par l’utilisateur via un syscall non privilégié, et le noyau AIX écrit les données sur un périphérique privilégié (/dev/error). À partir de là, un service privilégié (errdaemon) s’exécute en tant que root et lit à partir du périphérique, ce qui peut potentiellement entraîner l’exécution de commandes et/ou la corruption de la mémoire.
Le syscall errlog() ne limite pas qui peut y accéder ni les erreurs du noyau et de l’espace utilisateur qu’il peut être utilisé pour générer. Cela offre une opportunité aux attaquants de construire un mécanisme de persistance en configurant errdaemon pour exécuter des activités malveillantes lorsqu’un message approprié est enregistré par un utilisateur. Cette vulnérabilité pourrait également être utilisée pour contourner les contrôles de sécurité.
Sur les systèmes où les erreurs sont collectées et alimentées dans un SIEM ou autre solution de surveillance de réseau, cela présente des opportunités de détection au-delà de la télémétrie sur l’appareil, comme on peut le voir avec la règle Snort associée.
Les vulnérabilités touchent la version 7.2 de IBM Corporation AIX. Cisco Talos a travaillé avec IBM pour garantir que ces vulnérabilités sont résolues et qu’une mise à jour est disponible pour les clients concernés, tout en respectant la politique de divulgation des vulnérabilités de Cisco. Les utilisateurs sont encouragés à mettre à jour leurs produits affectés dès que possible.
En fin de compte, ces vulnérabilités soulignent l’importance de maintenir une sécurité robuste et à jour dans les systèmes d’exploitation et de surveiller de près les activités suspectes sur les réseaux. Les attaquants cherchent constamment des moyens de contourner les contrôles de sécurité et d’exploiter les vulnérabilités dans les systèmes d’exploitation, les applications et les infrastructures de réseau. Les entreprises doivent donc être proactives dans leur approche de la sécurité informatique et mettre en place des politiques de sécurité solides pour protéger leurs données et leurs systèmes contre les cyberattaques.
En conclusion, les vulnérabilités découvertes dans IBM AIX par le chercheur en sécurité de Cisco Talos soulignent l’importance de rester vigilant et d’agir rapidement pour résoudre les vulnérabilités critiques dès qu’elles sont découvertes. Les mises à jour de sécurité doivent être appliquées régulièrement et les organisations doivent surveiller en permanence leur réseau pour détecter toute activité suspecte et prévenir les cyberattaques.
Source:
https://blog.talosintelligence.com/vuln-spotlight-ibm-aix-privilege-escalation/
