Une faille dans Nuclei permet à des modèles malveillants de contourner la vérif

[Omnous_Luminae]

Une vulnérabilité corrigée dans le scanner de vulnérabilités open-source Nuclei aurait pu permettre à des attaquants de contourner la vérification des signatures en introduisant discrètement du code malveillant dans des modèles exécutés sur des systèmes locaux.
Nuclei est un scanner de vulnérabilités open-source populaire, créé par ProjectDiscovery, qui analyse les sites web pour détecter des vulnérabilités et d'autres failles.
Le projet utilise un système de modèles basé sur YAML, comprenant plus de 10 000 modèles pour identifier des vulnérabilités connues, des mauvaises configurations, des fichiers de configuration exposés, des webshells et des portes dérobées.
Fonctionnement des modèles YAML dans NucleiLes modèles YAML incluent également un protocole permettant d'exécuter localement des commandes ou des scripts, étendant ainsi les fonctionnalités des modèles.
Chaque modèle est "signé" avec un hash digest, que Nuclei utilise pour vérifier que le modèle n'a pas été modifié et n'inclut pas de code malveillant. Ce hash digest est ajouté à la fin des modèles sous la forme :
 

Code :

[b]# digest: <hash>[/b]

Une faille qui contourne la vérification des signatures NucleiUne nouvelle vulnérabilité Nuclei, suivie sous le nom de CVE-2024-43405, a été découverte par des chercheurs de Wiz. Elle permet de contourner la vérification des signatures, même si un modèle est modifié pour inclure du code malveillant.
Origine du problèmeLa faille provient :

1. D'une différence de traitement des sauts de ligne (\r) :
   • La logique de vérification de Go traite 
     Code :

     [b]\r[/b]
     comme faisant partie de la même ligne.
     
   • Le parseur YAML, en revanche, l'interprète comme un saut de ligne.
     Cette divergence permet aux attaquants d’injecter du contenu malveillant qui échappe à la vérification mais est toujours interprété par le parseur YAML.
     
2. Gestion des multiples lignes de signature
   
   Code :

   [b]# digest:[/b]
   :
   • Nuclei ne vérifie que la première occurrence de
     Code :

     # digest:
     dans un modèle, ignorant les suivantes.
     
   • Les attaquants peuvent exploiter cela en ajoutant des charges malveillantes dans des sections 
     Code :

     [b]# digest:[/b]
     supplémentaires, qui contiennent du code malveillant exécuté par le parseur YAML.
     

Exemple d'exploitationLes chercheurs de Wiz ont expliqué comment ils ont exploité cette faille. En utilisant

Code :

[b]\r[/b] 

comme saut de ligne, ils ont pu inclure une seconde ligne 

Code :

[b]# digest:[/b]

dans le modèle, qui échappe à la vérification mais est interprétée par le parseur YAML.Réparation et recommandationsLa faille a été signalée de manière responsable à ProjectDiscovery le 14 août 2024 par Wiz et corrigée dans la version Nuclei v3.3.2, publiée le 4 septembre 2024.
Conseils aux utilisateurs :

1. Mettez à jour Nuclei à la dernière version pour éviter les risques d'exploitation, car les détails techniques de cette faille sont désormais publics.
   
2. Utilisez Nuclei dans une machine virtuelle ou un environnement isolé pour réduire les risques liés aux modèles malveillants.
   

Sources

https://www.bleepingcomputer.com/news/se...ification/
https://thehackernews.com/2025/01/resear...uclei.html
https://projectdiscovery.io/nuclei

[EnZ0]

Tu as un petit souci de mise en forme je crois notamment de tes titres

L'analyse de cette faille de sécurité dans Nuclei met en lumière plusieurs aspects importants pour les professionnels de la sécurité. 

Pour faire synthétique, le problème proviendrait d'une incohérence entre le processus de vérification des signatures et le parseur YAML dans le traitement des caractères de nouvelle ligne. Cette faille permet à un attaquant d'injecter du contenu malveillant tout en conservant une signature valide pour la partie légitime du template.

En gros, cette vulnérabilité peut avoir des conséquences graves :
- Exécution de code arbitraire sur le système hôte
- Exfiltration de données sensibles
- Compromission complète des systèmes

Ce n'est pas rien, d'où son niveau de haute gravité : score CVSS (déjà évoqué) de 7.4.

En recommandation pour les utilisateurs, et je reprends deux conseils d'Omnous_Luminae :
- Mise à jour vers Nuclei 3.3.2 ou supérieur
- Exécution de Nuclei dans un environnement isolé, comme une machine virtuelle comme le suggérait Omnous
- Et en guise de dernier conseil : utilisation exclusive de templates provenant de sources de confiance.

Cette découverte illustre parfaitement l'importance de la veille sécurité dans notre domaine. La possibilité d'exécuter du code arbitraire via des templates malveillants représente un risque sérieux, d'autant plus que Nuclei est largement utilisé dans l'industrie avec plus de 50 millions de scans mensuels...

Le plus intéressant dans cette vulnérabilité est la façon dont elle exploite une divergence subtile dans le traitement des caractères de nouvelle ligne. C'est un excellent exemple de la complexité des systèmes de parsing et de l'importance des tests de sécurité approfondis.

Cette situation nous rappelle l'importance cruciale de la validation rigoureuse des entrées et de l'isolation des composants sensibles. La sécurité doit être pensée en profondeur, particulièrement quand on manipule du code externe ou des templates.