Linux : 79 vulnérabilités découvertes et partiellement corrigées relatives à l’USB (DoS en stack) !

Voilà de quoi remettre en cause les idées établies, notamment, pour ce qui concerne Linux et sa base, certes, sécuritaire mais tout aussi exposée, dans certains cas spécifiques : l’argument USB vient malheureusement confirmer cela et paie cher son exploitation malveillante via la mise en lumière de 79 failles dans le système USB du noyau de l’OS.

 

 

La découverte s’est faite – presque ?! – par hasard, via un test technique de logiciel (« fuzzing ») effectué par Andrey Konovalov, analyste sécuritaire chez Google. Le résultat : 14 failles trouvées qu’il a communiqué à l’auteur du programme-test (« syzkaller« ), Dmitry Vyukov, travaillant également au sein de la section-sécurité de la firme de Mountain View. En fouillant un peu plus, d’autres vulnérabilités viennent grossir le chiffre pour atteindre un total de 79 failles dont certaines concernent une version du noyau antérieure à la version 4.13 (.4 / .6 / .8 / .10 / .11, entre-autres, suivant le type de faille).

Déni de service (DoS) et plantage du terminal sont les principales conséquences d’une éventuelle attaque malveillante en notant que la « clé » réside dans le fait d’introduire le périphérique amovible dans le port USB de la machine potentiellement exposée ; soit par une personne malveillante soit, plus courant, par l’intermédiaire de quelqu’un qui le fera pour lui / elle voire au détour d’une clé USB ramassée par terre et introduite dans le terminal en question, par curiosité (oui, malheureusement, cela existe encore). L’usage de l’USB OTG (« On-The-Go » dont le principe, grosso, modo, permer de relier, à la manière par exemple du « link » sur gameboy deux appareils via un cordon, ici, mini-USB sans passer par un terminal « hôte ») n’est pas exclut d’un exploit potentiel lié ce type de faille.

Pour l’heure, 44 vulnérabilités ont été colmatées, selon le >listing Github (syzkaller)< et il convient d’être prudent quand à qui s’introduit dans votre ou vos ports USB physiques ou « virtuels ». Pensez, aussi, à bien mettre à jour votre distribution et voir l’avancement (fixs) des rustines par vulnérabilités dans le lien Github fournie ci-avant… A veiller !

 

Source : OpenWall.com – 6 Novembre 2017 – Syzkaller (failles USB Linux).