Utilisateurs de GitHub, attention à ce que vous mettez dans vos dépôts publics.
La dernière publication des Alien Labs d’AT&T le rappelle. Le sujet : une vulnérabilité dans Slack.
À la racine, les webhooks entrants.
Cette fonctionnalité permet d’exposer les espaces de travail à des applications tierces afin qu’elles puissent leur transmettre des données (en HTTP, au format JSON).
Le système est considéré comme peu risqué pour plusieurs raisons :
Cela dit, ont constaté les chercheurs d’AT&T :
D’après la documentation de Slack, l’étendue des canaux cibles autorisés dépend du créateur du webhook. Le risque est donc maximal lorsqu’il s’agit d’un administrateur.
L’exploitation combinée de ces paramètres ouvre la porte à des exfiltrations de données. Dans les grandes lignes, on :
La sécurité étant basée sur le contexte, certains profils sont plus « lucratifs ». Ils offrent d’autant plus de possibilités, dont l’envoi de messages privés à d’autres utilisateurs. Et la propagation entre espaces de travail en exploitant les canaux partagés.
Comment se prémunir ?
Par défaut, tous les membres d’un espace de travail peuvent y installer une application. C’est au propriétaire d’activer les différents systèmes d’approbation disponibles. Entre autres :
– Se limiter au catalogue d’applications validées par Slack
– Approuver les applications manuellement ou sur la base d’une liste blanche
– Utiliser les logs pour détecter les authentifications OAuth suspectes
Du côté de Slack, on pourrait implémenter le principe du « moindre privilège » pour les webhooks. Notamment en n’autorisant pas par défaut la modification du canal cible.
Officiellement, l’entreprise américaine a pour l’instant choisi de détecter les URL exposées au public sur GitHub… et de les invalider.
Illustration principale © Slack
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.