Plus fort que le piratage Scada, Adrian Pastor, de Gnu Citizen, nous promet de prochainement publier un article sur une « nouvelle technique universelle servant à détourner un site web ». Et ce ne sera pas, nous promet-il, une énième interprétation d’un XSS. Cette fois, le coupable, celui qui met en péril potentiellement tous les serveurs Web, c’est un firewall vendu sous forme d’appliance. L’on se souvient encore de la campagne de fuzzing que Pastor et son compère PdP avaient entamé contre l’ensemble des routeurs ADSL commercialisés en Grande Bretagne –ceux d’Orange, notamment-. L’exploitation des failles affectant les firmwares est donc une « spécialité maison ».
Mais il est trop tôt pour en parler, précise l’auteur. L’équipementier est prévenu, la diffusion de l’information se déroulera selon les règles établies par le ZDI (agrémenté de quelques articles dans GNU Citizen). Tout ce que l’on peut dire à ce jour, c’est que l’affaire touche « a well-known firewall vendor » et qu’elle peut déboucher sur un exploit « cross domain » qui, affirme l’auteur, peut affecter absolument tous les serveurs Web du monde entier, à partir du moment où celui-ci est protégé –si l’on peut dire- par le firewall en question.
Si la faille affecte un appareil haut de gamme, le risque d’exploitation a de fortes chances d’être très faible –en admettant qu’aucune fuite ou supputation géniale ne vienne chambouler le calendrier de divulgation-. En revanche, si le problème se rencontre sur des boîtiers d’entrée de gamme, le risque devient majeur. La clientèle des outils de protection périmétrique peu chers est moins encline à appliquer les correctifs, de crainte généralement de se retrouver avec une « brique », conséquence d’une erreur de flashage. Le trou Pastor ? Il risque de faire parler de lui encore longtemps.