Une vulnérabilité pour passer au travers des pare-feu de nouvelle génération

Ils l’appellent FireStorom. BugSec et Cynet sont parvenus à mettre à profit une fonctionnalité des pare-feu de nouvelle génération, à des fins malicieuses, pour exfiltrer furtivement des données. Ce qu’ils présentent dès lors comme une vulnérabilité.

L’astuce revient à utiliser une spécificité des modules d’examen des flux réseau conçus pour permettre d’identifier les applications au-delà des seuls ports TCP ou UDP utilisés. Ces modules s’avèrent particulièrement essentiels pour découvrir les applications et services Web utilisés en http et https.

Las, pour parvenir à ces fins, ces modules « sont conçus pour autoriser un handshake TCP complet quelle que soit la destination du paquet », soulignent BugSec et Cynet dans un communiqué. Dans un billet de blog, Cynet explique avoir réussi à mettre à profit cette caractéristique pour « réaliser un handshake TCP complet via le port http avec un serveur de contrôle et de commande hébergé par BugSec. De là, nous avons pu construire des messages et les transmettre encapsulés via le processus de handshake TCP, contournant ainsi le pare-feu vers n’importe quelle destination sur Internet, quelles que soient ses règles et les restrictions clients ».

La bonne nouvelle est que les communications sortantes malicieuses sont interrompues juste après de handshake réussi, le pare-feu découvrant là un trafic vers une destination inconnue. De quoi, le cas échéant, générer peut-être aussi des alertes.

Mais comme le relève Idan Cohen, directeur technique de BugSec, « c’est une vulnérabilité critique dont les entreprises ont besoin d’être conscientes. La possibilité d’effectuer ainsi le processus de handshake TCP complet signifie que des attaquants pourraient le détourner pour communiquer avec des serveurs non autorisés sur le Web, levant complètement le verrou que constitue le pare-feu entre le LAN et le monde extérieur ».

Mais les équipementiers du domaine ne semblent pas l’entendre de cette oreille, même si BugSec et Cynet ont bien montré la possibilité d’exfiltrer des données à l’occasion du seul handshake TCP. L’un d’entre eux assure ainsi que, dans un tel contexte, ses appareils ne reconnaîtraient pas l’application et traiteraient la cession correspondante suivant les règles applicables aux flux TCP inconnus.

Et c’est peut-être là l’enseignement principal de la démonstration : s’assurer que ces règles imposent le blocage de ces flux et génèrent des alertes afin de surveiller d’éventuelles tentatives d’exfiltration à la mode FireStorm.