Pour la troisième fois Solarwinds a corrigé une faille de désérialisation Java qui touche Web Help Desk, son outil d’ITSM. Les chercheurs en sécurité s’inquiètent de la difficulté à combler cette vulnérabilité activement exploitée.
Il arrive parfois que la correction d’une vulnérabilité ne marche pas du premier coup. Mais pour Solarwinds, il s’agit de la troisième tentative pour venir à bout d’une même faille dans son outil ITSM Web Help Desk. Elle a d’abord été corrigée pour la première fois en août 2024 après des avertissements de la CISA indiquant qu’elle avait été exploitée dans la nature. « Cette vulnérabilité est un contournement du correctif de la CVE-2024-28988, qui est lui-même un contournement du patch sur la CVE-2024-28986 », a écrit Solarwinds dans son dernier avis, qui suit la vulnérabilité sous la référence CVE-2025-26399 et dont le score de gravité CVSS est de 9,8 sur 10.
Même si les trois identifiants CVE soient différents, ils font référence au même bug, à savoir un problème de désérialisation Java non sécurisé dans le composant AjaxProxy qui peut conduire à l’exécution de code à distance sans authentification. En programmation, la sérialisation désigne le processus de conversion de données en un flux d’octets, généralement pour les transmettre par câble. La désérialisation inverse ce processus et, comme la plupart des opérations d’analyse de données, elle peut être source de faiblesses. Ce type de brèches touchent le plus souvent les applications Java, mais aussi celles écrites dans d’autres langages de programmation comme ASP.NET peuvent également être affectées. Elles entraînent souvent l’exécution de commandes arbitraires, ce qui les rend très prisées des pirates.
La troisième fois sera-t-elle la bonne ?
En août 2024, quelques jours seulement après la correction de la faille CVE-2024-28986, la CISA l’a ajoutée à son catalogue des vulnérabilités connues exploitées, même si l’on ne sait pas très bien si la faille a été exploitée en tant que zero-day avant la publication du correctif. En octobre 2024, SolarWinds a publié un autre patch pour remédier à une faille contournant son correctif initial, découverte par des chercheurs du programme Zero Day Initiative (ZDI) de Trend Micro. Près d’un an plus tard, ces mêmes chercheurs ont trouvé un moyen supplémentaire de contourner la faille. « La troisième fois sera-t-elle la bonne ? », s’est interrogé Ryan Dewhurst, responsable du renseignement proactif sur les menaces chez watchTowr. « Le bug d’origine a été activement exploité dans la nature, et même si une exploitation active de ce dernier contournement du correctif n’est pas encore avérée, on peut penser qu’elle aura lieu tôt ou tard. »
Ces contournements ne sont pas nécessairement rares, en particulier lorsqu’il s’agit de failles impliquant une analyse non sécurisée des entrées utilisateur non fiables. En effet, de nombreux développeurs adoptent une approche de liste noire pour corriger ces failles et se contentent de bloquer les entrées spécifiques utilisées dans le PoC connu ou l’exploit actif. Mais cela ne résout souvent pas le problème à la racine, laissant d’autres moyens de contourner la liste noire et d’atteindre la même partie vulnérable du code. Il est difficile de dire à quelle fréquence cela se produit, car de nombreux programmeurs traitent le contournement d’un correctif comme une faille distincte et pas comme un évitement.