alphaspirit - Fotolia
Une grave vulnérabilité affecte les équipements FireEye
Les chercheurs en sécurité de Google ont découvert une vulnérabilité permettant aisément de compromettre les équipements de protection de FireEye. Un correctif a été rapidement développé.
Il n’a fallu que deux jours à FireEye pour combler une importante faille affectant ses équipements de sécurité. Celle-ci concernait les produits des gammes NX, FX, AX et EX dans leur configuration standard. Ce sont les équipes du projet Zéro de Google, spécialisées dans la recherche de vulnérabilités inédites, qui l’ont découverte.
Dans un billet de blog, les chercheurs expliquent qu’un « attaquant peut envoyer un e-mail à un utilisateur [sans qu’il soit nécessaire qu’il soit ouvert, NDLR], ou l’amener à cliquer sur un lien pour compromettre complètement l’une des machines aux privilèges les plus élevés sur le réseau ».
La vulnérabilité en question, baptisée 666 par les chercheurs, peut en effet être exploitée via l’interface de surveillance passive du trafic réseau. Un « cauchemar » comme ils le qualifient puisqu’aucune interaction avec un utilisateur n’est requise pour compromettre la machine visée et, par là-même, une large partie de l’infrastructure de l’organisation visée. Car les équipements concernés surveillent le trafic « avec accès aux e-mails des employés, aux mots de passe, aux téléchargements, à l’historique de navigation, aux pièces jointes confidentielles, à tout ». Le risque de vol de données est donc évident. Mais il y a potentiellement pire : « dans certaines configurations de déploiement, un attaquant pourrait même altérer le trafic, insérant des portes dérobées ou pire ».
FireEye a étroitement travaillé avec les chercheurs de Google pour colmater la brèche en question, « poussant des remèdes temporaires à ses clients quelques heures après notification » et avant de distribuer des mises à jour. Celles-ci sont donc disponibles et les utilisateurs d’équipements donc le logiciel de sécurité est antérieur à la version 427.334 sont invités à les installer.
Début septembre, un chercheur avait rendu publics les détails d’une autre vulnérabilité inédite affectant les produits FireEye. A l’époque, il avait été amené à déplorer « l’absence de processus de reporting de la part de chercheurs externes chez FireEye ». L’expérience relatée par Google semble indiquer que la situation s’est améliorée.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
-
Citrix NetScaler ADC, Gateway : de nouvelles vulnérabilités inédites exploitées
-
SonicWall, Pulse Secure : des vulnérabilités critiques déjà exploitées
-
Chronologie des vulnérabilités Exchange : de nombreuses zones d’ombre
-
Une poignée de vulnérabilités à corriger sans attendre (si ce n’est pas déjà fait)