Zip Slip : un extracteur d'archivage ou un bout de code recèle une exécution de commande à distance (déculottée sécuritaire) !

Alors que début Mai, 7-Zip essuyait une vulnérabilité permettant une élévation de privilège - et une exécution de code arbitraire - via une mémoire corrompue dû à une défaillance du traitement aléatoire de données, voici que le système-même de compression et d'archivage a été, à son tour, mis à mal ; Un simple code partagé ou l'usage d'un logiciel dédié à l'archivage suffisait à compromettre le système via le code malicieux en modifiant ou créant une archive vérolée...

 

 

En effet, comme détaillé par l'entreprise sécuritaire Snyk, le problème mis en lumière officieusement (non publiquement) depuis le 15 Avril dernier se caractérise par une faille usitant l'attaque de traversée de répertoire permettant ainsi de se loger dans un code d'extraction du logiciel - ou du bout de code (manuel) partagé, par exemple, sur des plateformes communautaires comme StackOverFlow - ne possédant pas un système de validation dudit code d'extraction. De là, l'attaque devient virale et se propage au-delà du champ initial (répertoire cible) dans lequel le code devrait pointer, parcourant allégrement mais sûrement d'autre chemin du répertoire avec, pour la personne malveillante, une optimisation du genre en ajoutant des déclinaisons des chemins, tout en dupliquant certains fichiers du répertoire cible. Dans la finalité, une commande à distance du terminal infecté permettra la modification et / ou la création d'une archive (même si pour l'utilisateur il s'agit de "son" archive, visuellement).

 

 

La plupart des librairies utilisées dans les différents langages concernés ont été colmatés, même s'il en reste encore quelques-unes à corriger, comme détaillé dans le listing sécuritaire sur le sujet ouvert par Snyk, sur GitHub, en notant que la vulnérabilité avait été rendue publique depuis le 5 Juin dernier. Dernier en date, le web-marchand Amazon a pu appliquer une rustine, le 31 Mai dernier. Officiellement, le billet évoque d'autres acteurs, notamment Arduino et Google qui n'ont, pour l'heure, pas communiqué sur la résolution éventuelle (fix) du problème voire même l'ouverture d'un billet sécuritaire sur cette faille qualifiée de critique par l'entreprise de sécurité... A suivre !

 

Source : Snyk - 5 Juin 2018 (ouverture privée du problème depuis le 15 Avril 2018 - Zip Slip.