Alerte sécurité – L’application open-source Wget qui est largement utilisée sur les systèmes Linux et Unix pour récupérer des fichiers à partir du Web est vulnérable à une faille critique.
GNU Wget est un utilitaire en ligne de commande conçu pour récupérer des fichiers distant sur le Web via HTTP, HTTPS et FTP, les protocoles Internet les plus utilisés. Wget peut être facilement installé sur n’importe quel système Unix/Linux et a été porté sur de nombreux environnements, y compris Microsoft Windows, Mac OS X, OpenVMS, MorphOS et AmigaOS. Quand un répertoire récursif est récupéré sur un serveur FTP cible, cela pourrait permettre à un pirate de créer des fichiers arbitraires, des répertoires ou des liens symboliques en raison d’une faille touchant les liens symboliques.
Impact de la vulnérabilité Symlink
“Il a été constaté que Wget était sensible à une attaque par lien symbolique qui pourrait être exploitée afin de créer des fichiers arbitraires, des répertoires ou des liens symboliques et définir leurs autorisations lors de la récupération d’un répertoire de façon récursive par FTP“, a écrit le développeur Vasyl Kaigorodov dans un commentaire publié sur Red Hat Bugzilla.
Un serveur FTP malveillant distant non authentifié connecté à la victime via Wget pourrait donc permettre à des pirates informatiques de faire ce qu’ils veulent sur le serveur. Wget peut télécharger,créer ou écraser les fichiers existants de l’utilisateur en cours d’exécution.
La vulnérabilité a été signalée pour le projet GNU Wget par HD Moore, directeur de recherche chez Rapid7, et est publiquement identifiée sous la référence CVE-2014-4877. La faille est considérée comme critique étant donné que Wget est présent sur presque tous les serveurs Linux dans le monde, et est installable (mais pas par défaut) sur les machines OS X. Un patch correctif est donc primordial.
“Ce défaut peut conduire à l’exécution de code à distance par des vecteurs de niveau système tels que cron et de niveau utilisateur tels que les fichiers de profil bash et authorized_keys SSH”, explique Moore. La vulnérabilité a été corrigée par le projet Wget dans Wget version 1.16, qui bloque le réglage par défaut qui a permis la création de liens symboliques locaux.
“La mise à niveau vers la version 1.16 de Wget comportant le patch correctif à la vulnérabilité CVE-2014-4877 est disponible“, a déclaré Moore.
Un exploit pour la vulnérabilité est désormais disponible sur Metasploit, de sorte que les chercheurs en sécurité puissent tester le bug. Vous pouvez télécharger l’exploit ici.