L’équipe d’ingénierie de Wiz vient de révéler une vulnérabilité majeure (CVE-2024-43405) dans Nuclei, un populaire outil open source utilisé pour détecter les failles de sécurité. Cette faille, située dans le mécanisme de vérification de signature des “templates”, permettait à un attaquant de contourner les contrôles et d’exécuter du code malveillant.
Le correctif a été publié en septembre 2024, mais de nombreux utilisateurs n’ont pas encore mis à jour leur version, ce qui les expose à de possibles attaques.
C’est quoi Nuclei ?
Nuclei, développé par ProjectDiscovery, est un scanner de vulnérabilités qui s’appuie sur une série de “templates” YAML pour inspecter divers protocoles et applications. Ces modèles peuvent inclure des scripts ou commandes à exécuter localement, ce qui en fait un outil très polyvalent pour repérer les failles. Avec plus de 21 000 étoiles sur GitHub et des millions de téléchargements, Nuclei est largement adopté par les chercheurs et les entreprises pour cartographier leurs surfaces d’attaque et identifier rapidement les points faibles.
La faille, ses conséquences
Le problème découvert affecte les versions 3.0.0 à 3.3.2. Dans certains cas, une modification habile d’un template pouvait détourner le processus de vérification de la ligne “# digest:” pour y injecter du code malveillant. Les différences d’interprétation entre le parsing YAML et la validation regex en Go permettaient de passer entre les mailles du filet. Les équipes de ProjectDiscovery ont reconnu cette faille et publié une mise à jour en septembre 2024 (version 3.3.2). Les utilisateurs qui ne peuvent pas immédiatement installer cette version sont invités à désactiver tous les templates personnalisés et à n’utiliser que ceux qui sont officiellement validés.
Les solutions
Wiz recommande en outre d’exécuter Nuclei dans un environnement isolé (VM ou conteneur dédié) pour limiter l’impact en cas d’attaque réussie. Bien que le logiciel libre bénéficie généralement d’un examen approfondi, sa popularité en fait également une cible de choix pour les criminels qui espèrent déjouer la chaîne de confiance.
Les administrateurs et chercheurs en sécurité sont donc vivement encouragés à mettre à jour Nuclei sans attendre, afin d’éviter que cette faille ne puisse être exploitée dans les semaines à venir.
