WebP 0-Day CVE-2023-5129 : Comment identifier les applications vulnérables avec NinjaOne

Une vulnérabilité de type « zero-day » (CVE-2023-5129) dans la bibliothèque d’images WebP est activement exploitée, mettant en danger les principaux navigateurs et des dizaines d’applications supplémentaires.

Qu’est-ce que ça signifie ?

Mercredi, Google a publié la vulnérabilité CVE-2023-5129 et lui a attribué un score de base de 10. Cela souligne la menace et la gravité de la faille, la situation est particulièrement grave.

Qu’est-ce que CVE-2023-5129 ?

CVE-2023-5129 est une faille de dépassement de tampon (heap buffer overflow) dans le format d’image WebP. Notamment, il permet une compression sans dégradation des images sur le web (l’utilisation de WebP permet aux développeurs de sites web de créer des images plus petites mais toujours aussi nettes, ce qui accélère la navigation). Nous n’entrerons pas dans les détails ici, mais vous pouvez trouver plus d’informations générales sur les failles de dépassement de tampon, et sur le problème de la fonction « BuildHuffmanTable » de la bibliothèque libwebp, en particulier, dans cet article d’Alex Ivanovs sur StackDiary.

À noter : cette vulnérabilité était à l’origine répertoriée sous le nom de CVE-2023-4863 et ne s’appliquait qu’à Chrome. Le nouveau CVE a été publié pour préciser que la faille s’applique en fait à un nombre beaucoup plus important d’applications (liste partielle ci-dessous).

Quelle est la sévérité de CVE-2023-5129 ?

Malheureusement, c’est très grave (d’où le CVSS de 10). Pour trois raisons différentes :

• L’impact est extrêmement vaste : La vulnérabilité affecte tous les logiciels qui utilisent le codec WebP. Cela inclut les principaux navigateurs comme Chrome, Firefox, Safari et Edge, mais aussi, comme mentionné, une multitude d’applications supplémentaires (liste partielle ci-dessous). Les administrateurs qui souffrent encore du syndrome de stress post-traumatique lié à log4j reconsidèrent une fois de plus leur choix de vie.
• L’impact de l’exploitation est extrêmement grave : Une exploitation réussie pourrait potentiellement permettre à des attaquants de prendre le contrôle d’un système, d’exécuter un code arbitraire et d’accéder à des données sensibles de l’utilisateur.
• Les attaquants l’exploitent déjà activement : Au début du mois (11 septembre), Google a reconnu que la norme CVE-2023-4863 était exploitée. De plus, cette faille a été associée au rapport « BLASTPASS » publié le 7 septembre par Citizen Lab, qui révèle un programme d’exploitation de l’iPhone de type « zero-click » (zéro clic).

Quelles sont les applications concernées par CVE-2023-5129 ?

De nombreuses applications utilisent le traitement d’images WebP via libwebp. Comme indiqué sur cyberkendra.com, « puisque le codec est intégré à Android, toutes les applications de navigation natives sur les appareils Android sont concernées ».

Mais la liste ne s’arrête pas là. Ils signalent également que, selon une liste compilée sur Wikipedia, les applications suivantes utilisent le codec WebP :

• 1Password
• balenaEtcher
• Basecamp 3
• Beaker (navigateur web)
• Bitwarden
• CrashPlan
• Cryptocat (abandonné)
• Discord
• Eclipse Theia
• FreeTube
• GitHub Desktop
• GitKraken
• Joplin
• Keybase
• Lbry
• Light Table
• Logitech Options +
• LosslessCut
• Mattermost
• Microsoft Teams
• MongoDB Compass
• Mullvad
• Notion
• Obsidian
• QQ (pour macOS)
• Quasar Framework
• Shift
• Signal
• Skype
• Slack
• Symphony Chat
• Tabby
• Termius
• TIDAL
• Twitch
• Visual Studio Code
• WebTorrent
• Wire
• Yammer

Quelles sont les applications pour lesquelles des correctifs pour CVE-2023-5129 sont disponibles ?

Cyberkendra.com dresse également une liste utile des fournisseurs qui ont introduit des correctifs pour cette vulnérabilité et la mettra à jour :

• Google Chrome –  Mac et Linux 116.0.5845.187 et Windows 116.0.5845.187/.188.
• Mozilla – Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, et Thunderbird 115.2.2
• Brave Browser – version 1.57.64 (Chromium : 116.0.5845.188) [Android, iOS, Linux & Mac].
• Microsoft Edge – versions 109.0.1518.140, 116.0.1938.81 et 117.0.2045.31.
• Navigateur Tor – version 12.5.4.
• Opera – version 102.0.4880.46.
• Vivaldi – version 6.2.3105.47.
• 1Password – version 8.10.15
• Bitwarden
• LibreOffice
• Suse
• Ubuntu
• LosslessCut
• NixOS –  Nix package manager

Que peuvent faire les administrateurs pour protéger leurs réseaux ?

Compte tenu de l’attention que cette affaire ne manquera pas de susciter et de l’exploitation active déjà confirmée, il est vivement recommandé de mettre à jour les applications vulnérables (et de confirmer que les correctifs ont été appliqués) dès que possible, une fois les mises à jour disponibles.

Malheureusement, le nombre total d’applications concernées n’a pas encore été déterminé, et vous ne pouvez pas patcher une application si vous ne savez pas qu’elle est vulnérable ou si le correctif n’est pas disponible. Il faut espérer que d’autres fournisseurs fourniront bientôt plus d’informations et de clarté.

En attendant…

Comment identifier les applications vulnérables à l’aide de NinjaOne ?

En attendant de connaître l’étendue des applications vulnérables, les professionnels de l’informatique peuvent au moins rechercher sur leurs réseaux les appareils fonctionnant avec des versions obsolètes d’applications qui ont été corrigées. Dans cette vidéo, Gavin Stone, Chef de produit chez NinjaOne, explique comment les utilisateurs de NinjaOne peuvent le faire en utilisant le filtre d’inventaire logiciel :

Liens et ressources supplémentaires

• National Vulnerability Database CVE-2023-5129
• Discussion sur r/sysadmin
• WebP 0day : Google attribue un nouveau CVE pour la vulnérabilité libwebp (cyberkendra.com)
• Bug critique de WebP : De nombreuses applications, et pas seulement les navigateurs, sont menacées (StackDiary)
• The WebP 0day (Ben Hawkes)
• BLASTPASS : NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild (The Citizen Lab)