«La troisième fois est le charme? demande à un chercheur de sécurité de premier plan après ce qui semble être le même défaut de désérialisation Java critique obtient une troisième mise à jour de sécurité.
SolarWinds a publié un troisième patch pour essentiellement la même vulnérabilité critique de désérialisation Java dans son produit Web Help Desk. Le défaut d’origine a été corrigé pour la première fois en août 2024 avec des avertissements de CISA qu’il avait été exploité dans la nature.
« Cette vulnérabilité est un contournement de patch de CVE-2024-28988, qui à son tour est un contournement de patch de CVE-2024-28986 », a écrit Solarwinds dans son nouvel avis, qui suit le dernier numéro en tant que CVE-2025-26399.
Bien que les trois ID CVE soient différents, ils découlent du même bug: un problème de désérialisation Java dangereux dans le composant AjaxProxy qui peut conduire à l’exécution de code distant sans authentification. La faille est évaluée avec 9,8 sur 10 sur l’échelle de gravité CVSS.
En programmation, la sérialisation est le processus de conversion des données en un flux d’octets, généralement pour la transmettre sur le fil. La désérialisation inverse ce processus et, comme la plupart des opérations d’analyse de données, elle peut être une source de vulnérabilités.
Les défauts de désérialisation ont le plus souvent un impact sur les applications Java, mais les applications écrites dans d’autres langages de programmation telles que ASP.NET peuvent également être affectées. Ces vulnérabilités entraînent souvent une exécution arbitraire des commandes, ce qui les rend populaires auprès des attaquants.
Quelques jours seulement après que le CVE-2024-28986 a été corrigé en août 2024, CISA l’a ajouté à son catalogue connu des vulnérabilités exploitées (KEV), bien qu’il ne soit pas clair si le défaut a été exploité comme un jour zéro avant la libération du patch.
En octobre 2024, Solarwinds a publié un nouveau hotfix pour aborder un contournement de son correctif initial découvert par les chercheurs travaillant avec le programme Initiative Zero Day (ZDI) de Trend Micro. Près d’un an plus tard, les chercheurs travaillant avec ZDI ont trouvé un contournement du contournement.
«La troisième fois est le charme?» demanda Ryan Dewhurst, responsable de l’intelligence de la menace proactive à Watchtowr. « Le bug d’origine a été activement exploité dans la nature, et bien que nous ne soyons pas encore conscients de l’exploitation active de ce dernier contournement de patch, l’histoire suggère que ce n’est qu’une question de temps. »
Les contournements de patch ne sont pas nécessairement rares, en particulier lorsqu’ils traitent des défauts impliquant l’analyse dangereuse de l’entrée des utilisateurs non fiables. En effet, de nombreux développeurs adoptent une approche de liste noire pour fixer de tels défauts et bloqueront simplement l’entrée spécifique utilisée dans l’exploit de preuve de concept ou de concept connu ou armé.
Mais cela ne traite souvent pas de la racine du problème, laissant d’autres moyens d’échapper à la liste noire et d’atteindre la même partie vulnérable du code. Il est difficile de dire à quelle fréquence cela se produit, car de nombreux développeurs traiteront un pontage de patch comme un défaut séparé et ne le divulgueront pas comme un contournement.
