Claroty, un spécialiste new-yorkais en cybersécurité, a révélé l’existence d’une vulnérabilité touchant l’univers SQL. Les correctifs arrivent mais ne sont pas encore tous disponibles. Il va donc falloir rester en alerte.
Lors de la Black Hat Europe qui se tenait à Londres du 5 au 8 décembre dernier, la Team82 de Claroty annonçait avoir découvert une nouvelle technique d’injection SQL. La technique, qui parvient à contourner les principaux mécanismes de défense existants, y compris les principaux pare-feu applicatifs web du marché, s’appuie sur le format JSON. Ce format, ajouté aux principales bases de données SQL à partir de 2012 (pour PostgreSQL) et jusqu’en 2022 (pour SQLite), concerne les principaux moteurs de bases de données SQL tels que Postgres, SQLite, MS SQL et MySQL. « C’est le nouveau ‘ or 1=1 – – », explique Noam Moshe, chercheur en vulnérabilités chez Claroty.
Certains correctifs déjà en place, d’autres à venir
En traduisant des directives SQL classiques par leurs équivalents JSON, la fameuse syntaxe ‘ or 1=1 chère aux hackers débutants devient ainsi ‘ or data @> ‘{« a »: »b »}’— et retrouve de son utilité, ainsi que de nombreux nouveaux opérateurs propres à JSON permettant de manipuler plus encore la base de donnée et son contenu. En s’appuyant sur cette approche, la Team82 a non seulement été en mesure d’extraire les identifiants d’administration d’un outil de gestion des points d’accès WiFi hébergé sur les infrastructures Cloud AWS d’Amazon, mais aussi et surtout d’en contourner le WAF intégré, qui bloquait bien entendu toutes les tentatives d’injection classiques et l’exfiltration des données sensibles. Comme le souligne Olivier Caleff, responsable Cyber Crise chez ERIUM, “le point positif est que Claroty a prévenu les différents éditeurs de solution WAF concernés en amont et les cite dans sa publication. Encore une fin d’année heureuse pour les équipes de patch management qui risquent de passer les fêtes à surveiller l’arrivée des différents correctifs…”
