Une faille dans Nuclei permet à des modèles malveillants de contourner la vérif

[Omnous_Luminae]

Une vulnérabilité corrigée dans le scanner de vulnérabilités open-source Nuclei aurait pu permettre à des attaquants de contourner la vérification des signatures en introduisant discrètement du code malveillant dans des modèles exécutés sur des systèmes locaux.
Nuclei est un scanner de vulnérabilités open-source populaire, créé par ProjectDiscovery, qui analyse les sites web pour détecter des vulnérabilités et d'autres failles.
Le projet utilise un système de modèles basé sur YAML, comprenant plus de 10 000 modèles pour identifier des vulnérabilités connues, des mauvaises configurations, des fichiers de configuration exposés, des webshells et des portes dérobées.
Fonctionnement des modèles YAML dans NucleiLes modèles YAML incluent également un protocole permettant d'exécuter localement des commandes ou des scripts, étendant ainsi les fonctionnalités des modèles.
Chaque modèle est "signé" avec un hash digest, que Nuclei utilise pour vérifier que le modèle n'a pas été modifié et n'inclut pas de code malveillant. Ce hash digest est ajouté à la fin des modèles sous la forme :
 

Code :

[b]# digest: <hash>[/b]

Une faille qui contourne la vérification des signatures NucleiUne nouvelle vulnérabilité Nuclei, suivie sous le nom de CVE-2024-43405, a été découverte par des chercheurs de Wiz. Elle permet de contourner la vérification des signatures, même si un modèle est modifié pour inclure du code malveillant.
Origine du problèmeLa faille provient :

1. D'une différence de traitement des sauts de ligne (\r) :
   • La logique de vérification de Go traite 
     Code :

     [b]\r[/b]
     comme faisant partie de la même ligne.
     
   • Le parseur YAML, en revanche, l'interprète comme un saut de ligne.
     Cette divergence permet aux attaquants d’injecter du contenu malveillant qui échappe à la vérification mais est toujours interprété par le parseur YAML.
     
2. Gestion des multiples lignes de signature
   
   Code :

   [b]# digest:[/b]
   :
   • Nuclei ne vérifie que la première occurrence de
     Code :

     # digest:
     dans un modèle, ignorant les suivantes.
     
   • Les attaquants peuvent exploiter cela en ajoutant des charges malveillantes dans des sections 
     Code :

     [b]# digest:[/b]
     supplémentaires, qui contiennent du code malveillant exécuté par le parseur YAML.
     

Exemple d'exploitationLes chercheurs de Wiz ont expliqué comment ils ont exploité cette faille. En utilisant

Code :

[b]\r[/b] 

comme saut de ligne, ils ont pu inclure une seconde ligne 

Code :

[b]# digest:[/b]

dans le modèle, qui échappe à la vérification mais est interprétée par le parseur YAML.Réparation et recommandationsLa faille a été signalée de manière responsable à ProjectDiscovery le 14 août 2024 par Wiz et corrigée dans la version Nuclei v3.3.2, publiée le 4 septembre 2024.
Conseils aux utilisateurs :

1. Mettez à jour Nuclei à la dernière version pour éviter les risques d'exploitation, car les détails techniques de cette faille sont désormais publics.
   
2. Utilisez Nuclei dans une machine virtuelle ou un environnement isolé pour réduire les risques liés aux modèles malveillants.
   

Sources

https://www.bleepingcomputer.com/news/se...ification/
https://thehackernews.com/2025/01/resear...uclei.html
https://projectdiscovery.io/nuclei