De nouvelles chaînes d’approvisionnement piratées avec la faille MagicLine4NX.

De nouvelles chaînes d’approvisionnement piratées avec la faille MagicLine4NX.

Les pirates informatiques utilisent la vulnérabilité critique jour zéro pour attaquer les chaînes d’approvisionnement au Royaume-Uni et en Corée du Sud. Le Centre national de cybersécurité (NCSC) et le Service national de renseignement coréen (NIS) préviennent que le groupe de piratage nord-coréen Lazarus pirate les entreprises en utilisant une vulnérabilité zero-day du logiciel MagicLine4NX pour mener des attaques sur la chaîne d’approvisionnement. MagicLine4NX est un logiciel d’authentification de sécurité développé par la société sud-coréenne Dream Security, utilisé pour les connexions sécurisées dans les organisations.

La vulnérabilité critique CVE-2023-45797 est publiée depuis le 30/10/2023. Elle concerne le produit Dream Security MagicLine4NX à 1.0.0.26. Cette faille permet à un attaquant d’exécuter du code arbitraire à distance. Sur le principe, une valeur d’entrée inconnue peut conduire à un débordement de mémoire (buffer overflow). A ce jour, il n’y a aucune information disponible pour contrer cette faille. Cette faille a été récemment utilisée par le groupe Lazarus pour pirater la chaîne d’approvisionnement de CyberLink.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.

Une faille de classe "buffer overflow" (débordement de tampon en français) est une vulnérabilité de sécurité informatique qui survient lorsque des données sont écrites dans une zone de mémoire tampon (ou "buffer") d'un programme informatique, et que ces données dépassent la capacité allouée à ce tampon. Lorsque cela se produit, les données excédentaires peuvent écraser d'autres parties de la mémoire ou du code du programme, ce qui peut entraîner des comportements inattendus et potentiellement des failles de sécurité exploitées par des attaquants. Voici comment cela fonctionne dans le détail :

Allocation de mémoire tampon : Les programmes informatiques utilisent souvent des mémoires tampons pour stocker temporairement des données, telles que les entrées utilisateur, les données de fichiers, etc. La mémoire tampon est généralement allouée avec une taille fixe pour éviter les débordements.
Débordement de tampon : Si un programme ne vérifie pas correctement la taille des données qu'il écrit dans une mémoire tampon, il est possible que des données trop volumineuses soient écrites dans le tampon. Cela peut provoquer un débordement de tampon, où les données excédentaires écrasent la mémoire adjacente.
Corruption de la mémoire : Lorsqu'un tampon déborde, il peut écraser d'autres variables, des données de contrôle, ou même des parties du code du programme. Cela peut entraîner un comportement imprévisible du programme, des plantages, ou, dans le pire des cas, une vulnérabilité de sécurité qui peut être exploitée par un attaquant.
Exploitation : Les attaquants peuvent exploiter les débordements de tampon pour exécuter un code malveillant sur la machine cible. Ils insèrent généralement un code spécialement conçu dans le tampon, qui est ensuite exécuté lorsque le débordement a lieu et remplace des parties du code du programme.

Pour prévenir les failles de classe "buffer overflow", il est essentiel de programmer de manière sécurisée en effectuant des vérifications appropriées sur les tailles des tampons et en utilisant des pratiques de programmation sécurisée. De plus, les langages de programmation modernes offrent des mécanismes de sécurité tels que les tampons sécurisés (buffer overflow protection) pour détecter et prévenir les débordements de tampon lors de l'exécution.


Les vulnérabilités Zero-day représentent l'une des menaces les plus sérieuses en informatique. Ces failles, encore inconnues des développeurs et des utilisateurs, sont exploitées par les cybercriminels avant qu'un correctif puisse être développé. L'impact peut être dévastateur, permettant aux attaquants d'accéder à des données sensibles, de prendre le contrôle de systèmes informatiques ou de propager des logiciels malveillants.

Les attaques Zero-day sont difficiles à anticiper et à contrer, mettant en lumière l'importance de la surveillance constante des systèmes, de l'application rapide des correctifs et de la mise en place de mesures de sécurité robustes pour atténuer les risques.

Les failles Zero-Day, souvent nommées "exploits" ne sont généralement pas utilisées dans les cyberattaques. L'objectif des attaquants est de tirer profit de ces vulnérabilités critiques en monnayant leur possible utilisation. Ce sont les grandes compagnies comme Microsoft ou Adobe ou encore les CES comme WordPress mais aussi les stockages des données dans le cloud qui sont la cible des cybermenaces de ces exploits. La découverte d'une faille critique est aussi rentable pour les hackers que l'exploitation d'un rançongiciel.


Les cyberattaques sont des attaques malveillantes menées contre des systèmes informatiques, réseaux ou données, dans le but de causer des dommages, voler des informations ou perturber les opérations. Elles peuvent prendre différentes formes, telles que les virus, les logiciels malveillants, les attaques de phishing ou les attaques par déni de service (DDoS). Elles peuvent provenir aussi d'attaques par rançongiciels, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day.

Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.

Ces attaques peuvent avoir des conséquences dévastatrices, tant pour les individus que pour les entreprises ou les gouvernements, allant de la perte de données sensibles à la mise hors service de services essentiels. La protection contre les cyberattaques est devenue une priorité majeure pour tous ceux qui utilisent des technologies informatiques.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

 

A propos de l'auteur

Retour en haut