Comment nous avons découvert une vulnérabilité dans MapPress Pro (CVE-2020-12675)

De nouvelles vulnérabilités sont découvertes chaque jour et de nouveaux correctifs sont émis pour les corriger. Parfois, ces correctifs ne résolvent pas complètement le problème ou n'introduisent pas de nouveaux problèmes en même temps. L'une des fonctions clés de notre équipe de recherche en sécurité est de chasser les menaces au nom de l'ensemble de notre clientèle. Ils creusent plus profondément et font des recherches approfondies pour garantir la sécurité des logiciels et des plates-formes sur lesquels nos clients comptent.

Creuser plus profond

Nous maintenons une base de données interne qui contient essentiellement une liste de courses pour les vulnérabilités potentielles susceptibles d'avoir un impact sur nos clients. Cela aide notre équipe de recherche en sécurité à passer au crible le volume écrasant des vulnérabilités et à se concentrer sur celles qui sont les plus susceptibles de causer des dommages.Beaucoup d'organisations de sécurité acceptent aveuglément qu'une vulnérabilité a été corrigée avec le dernier correctif, mais nous ne le faisons pas prenez la parole du développeur. Nous avons mis en place une cible corrigée et tentons de l'exploiter pour voir si elle est toujours vulnérable. Nous capturons ensuite toutes les activités et les données pour comprendre à quoi elles ressemblent lorsque l'attaque s'exécute et recueillir des informations que nous pouvons utiliser pour développer des signatures de détection pour la menace.

Vulnérabilité de MapPress Pro

Récemment, l'un de nos chercheurs en sécurité cherchait les menaces dans les plugins WordPress populaires et a créé un pack de recherche sur les menaces pour MapPress Pro, un plugin de cartographie. WordPress est une plate-forme de publication Web largement utilisée et est assez stable et sécurisé en soi, mais des milliers de plugins non réglementés créent un scénario de « Far West ». Il y avait une vulnérabilité antérieure dans MapPress Pro identifiée par WordFence, que le développeur a corrigée et publiée. un patch pour. À première vue, il semblerait que le problème soit résolu et qu'il n'était pas nécessaire de creuser plus profondément. Notre équipe de recherche en sécurité a cependant dépassé la surface pour vérifier. Notre chercheur a téléchargé plusieurs versions du plugin pour évaluer par rapport à un exploit de preuve de concept pour la faille d'origine.Il a disséqué et assemblé les notes du code. La vulnérabilité précédente était le résultat du développeur n'incluant pas les vérifications de nonce ou de capacité. Une vérification nonce génère une valeur aléatoire à soumettre avec un formulaire Web afin de valider que le formulaire provient de la bonne source et n'a été ni intercepté ni corrompu de quelque manière que ce soit. Notre chercheur a recherché où le code nonce a été généré et où il est apparu dans le code et a constaté qu'il était possible de trouver le code nonce dans le texte simplement en affichant le code source de la pageAlert Logic a contacté le développeur du plugin et a travaillé avec eux pour résoudre complètement le problème. Nous avons informé l'équipe de développement que le correctif d'origine ne résolvait qu'une facette du problème sous-jacent et que les utilisateurs disposant de faibles autorisations sur le site pouvaient toujours exploiter la faille pour tirer parti de l'accès qu'ils ne devraient pas avoir. En travaillant avec Alert Logic, le développeur a pu développer et publier rapidement un nouveau correctif qui a entièrement résolu la vulnérabilité.

Protection des clients Logic Alert

Cet effort de recherche profite au monde entier une fois le processus terminé, mais nous n'attendons pas ce moment pour protéger les clients d'Alert Logic. Dès qu'une vulnérabilité est identifiée, nous développons une signature de télémétrie. Même avant d'avoir déterminé exactement à quoi ressemble une attaque réussie contre la vulnérabilité, nous utilisons les informations dont nous disposons pour faire une supposition éclairée sur la façon dont une attaque pourrait fonctionner et développer une large détection pour détecter tout ce qui ressemble à une attaque pendant que nous poursuivons nos efforts de recherche pour développer une signature plus chirurgicale pour la menace.

Une partie de notre routine

Ce type d'activité représente une grande partie de la valeur fournie par les chercheurs en sécurité d'Alert Logic. Nous n'identifions pas toujours les nouveaux CVE en fonction de cette diligence raisonnable. Nous avons une culture qui ne se contente pas du strict minimum. Nous devons à nos clients et partenaires d'aller au-delà. C'est pourquoi il est important que nous n'acceptions jamais les exploits de preuve de concept à leur valeur nominale. Nous avons les données et les idées de nos plus de 4000 clients à travers le monde. Lorsque nous découvrons un problème qui affecte un client, nous pouvons appliquer les leçons apprises et déployer la détection au profit de tous nos clients avant qu'ils ne soient violés.

Tags: , , , , , , , , , , , , , , , , ,