Faille critique de compromission dans PuTTY SSH

Faille critique de compromission découverte dans PuTTY SSH


PuTTY, un émulateur de terminal et une application de transfert de fichiers réseau largement utilisés pour ses capacités de sécurisation des communications via SSH (Secure Shell), a récemment été confronté à une faille critique de compromission, mettant en danger la sécurité des utilisateurs.

Le 25 avril 2024, le NIST (National Institute of Standards and Technology) a publié une mise à jour de sa base de données nationale sur la vulnérabilité, identifiée sous le code CVE-2024-31497. Cette faille affecte les versions de PuTTY allant de la version 0.68 à la version 0.80, antérieures à la version 0.81. Elle permet à un attaquant de récupérer la clé secrète d’un utilisateur par le biais d’une attaque rapide sur la génération occasionnelle ECDSA, nécessitant seulement environ 60 signatures. En d’autres termes, même si les utilisateurs ne sont plus sur des versions vulnérables de PuTTY, un adversaire pourrait déjà posséder suffisamment d’informations de signature pour compromettre une clé privée.

Cette compromission expose les utilisateurs à des risques étendus, notamment la possibilité pour un attaquant de devenir opérateur d’un serveur SSH, ce qui lui permet de capturer les données d’authentification de la victime. De plus, cette faille ouvre la porte à des attaques de chaîne d’approvisionnement, affectant potentiellement des logiciels maintenus dans Git, tels que FileZilla, WinSCP, TortoiseGit et TortoiseSVN.

L’impact de cette vulnérabilité s’est étendu au-delà de PuTTY seul. Le 8 mai 2024, Citrix a publié en urgence une mise à jour de sécurité pour son hyperviseur, Citrix Hypervisor. Les versions de XenCenter incluses avec Citrix Hypervisor 8.2 CU1 LTSR utilisaient PuTTY comme composant tiers pour les connexions SSH aux machines virtuelles invitées. Bien que cette intégration soit obsolète depuis la version 8.2.6 de XenCenter, elle reste une source de préoccupation pour les administrateurs qui n’ont pas mis à jour leurs systèmes.

De plus, cette faille s’inscrit dans un contexte plus large de menaces à la sécurité informatique. En mai 2020, le cheval de Troie bancaire Trickbot a été identifié comme intégrant un module de propagation de logiciels malveillants, ciblant notamment les contrôleurs de domaine Windows. Ce module furtif permet une propagation silencieuse sur le réseau, avec la capacité de voler des informations sensibles telles que les clés OpenSSH, rendant les systèmes déjà vulnérables à des attaques supplémentaires.

Enfin, en juillet 2021, une autre vulnérabilité (CVE-2021-36367) dans PuTTY SSH a été révélée. Cette faille permet à un serveur SSH contrôlé par un attaquant de présenter une invitation d’authentification usurpée, facilitant la capture de données d’identification et leur utilisation à des fins malveillantes.

Face à ces menaces, il est impératif que les utilisateurs de PuTTY et de produits associés restent vigilants et appliquent les mises à jour de sécurité dès qu’elles sont disponibles. De plus, une évaluation régulière des protocoles de sécurité et des pratiques d’authentification est essentielle pour minimiser les risques d’exploitation de telles failles critiques.

 

A propos de l'auteur

Retour en haut