ISGroup Conseil en Cybersécurité

CVE-2025-64778 : Une vulnérabilité liée aux mots de passe codés en dur dans NMIS/BioDose permet un accès non autorisé

NMIS/BioDose est une suite logicielle spécialisée utilisée dans des environnements sensibles pour la gestion de réseaux et, plus particulièrement, pour le suivi de l’exposition aux radiations en médecine nucléaire. Étant déployé dans des établissements de santé et de recherche, il traite et stocke souvent des données hautement sensibles relatives aux patients et aux opérations, ce qui en fait une cible de grande valeur pour les attaquants.

Le risque principal découle de l’utilisation d’identifiants codés en dur directement dans le logiciel, ce qui fournit un chemin direct vers l’élévation de privilèges. Un attaquant disposant même d’un accès minimal en lecture au système de fichiers peut facilement extraire ces identifiants et obtenir le contrôle administratif de l’application et de sa base de données. Bien qu’aucune attaque confirmée exploitant activement cette vulnérabilité n’ait encore été enregistrée, son inclusion dans une alerte de la CISA pour les systèmes de contrôle industriel (ICS) souligne sa criticité. Toutes les instances, qu’elles soient internes ou exposées sur Internet, des versions vulnérables doivent être considérées comme à haut risque en raison de la simplicité de l’exploitation une fois l’accès initial obtenu.

ProduitNMIS/BioDose
Date2025-12-04 12:31:29

Résumé technique

La cause principale de cette vulnérabilité est classée comme CWE-798 : Utilisation d’identifiants codés en dur. Les mots de passe de l’application et de la base de données associée sont stockés en clair directement dans les fichiers binaires exécutables de l’application. Cette pratique non sécurisée élimine le besoin de techniques avancées de rétro-ingénierie, car les identifiants peuvent être récupérés à l’aide d’outils simples d’inspection de fichiers.

La chaîne d’attaque est directe :

  1. Un attaquant obtient un accès initial au système de fichiers du serveur sur lequel le logiciel NMIS/BioDose est installé.
  2. L’attaquant utilise un utilitaire standard, tel que strings, pour lire le contenu des fichiers binaires de l’application.
  3. Les mots de passe codés en dur sont trouvés en clair dans les segments de données du binaire.
  4. L’attaquant utilise ces identifiants pour accéder à l’application ou à sa base de données avec des privilèges administratifs.

Une représentation conceptuelle de la logique du code vulnérable est la suivante :

// -- CODE VULNÉRABLE (CONCEPTUEL) --
// Les identifiants de la base de données sont compilés directement dans l'application,
// les rendant lisibles par quiconque ayant accès au binaire.

void connectToDatabase() {
    const char* user = "biodose_admin";
    const char* pass = "h@rdc0d3d_p@ssw0rd_Examp1e!"; // Mot de passe en clair dans le binaire
    db_connect("127.0.0.1", user, pass);
}

Versions concernées : NMIS/BioDose V22.02 et antérieures sont vulnérables.
Disponibilité du correctif : Une version corrigée a été publiée et les utilisateurs doivent mettre à jour vers la version la plus récente disponible auprès du fournisseur.

Une exploitation réussie permet à un attaquant d’obtenir un accès administratif complet, autorisant la lecture, la modification ou l’exfiltration de données sensibles relatives à la gestion du réseau et aux registres d’exposition aux radiations des patients.

Recommandations

  • Appliquer le correctif immédiatement : Mettre à jour toutes les instances de NMIS/BioDose vers une version ultérieure à la V22.02. Contacter le fournisseur pour obtenir la dernière version corrigée du logiciel et les instructions de déploiement.

  • Atténuations :

  • Mettre en œuvre des contrôles d’accès stricts sur le système de fichiers. S’assurer que seuls les comptes administratifs de confiance peuvent lire ou exécuter les fichiers dans le répertoire binaire de l’application.

  • Si la mise à jour n’est pas immédiatement possible, utiliser des solutions de contrôle des applications ou de liste blanche (whitelisting) pour empêcher les processus non autorisés d’accéder aux fichiers binaires de NMIS/BioDose.

  • Recherche et surveillance :

  • Vérifier les journaux de l’application et de la base de données à la recherche d’activités de connexion non autorisées ou anormales. Corréler les heures d’accès avec l’activité sur le système hôte.

  • Surveiller l’activité sur la ligne de commande relative à l’utilisation d’outils tels que strings, grep ou cat sur les fichiers exécutables de l’application.

  • Établir une base de référence des connexions réseau normales à la base de données et générer des alertes pour les connexions provenant de sources inattendues.

  • Réponse aux incidents :

  • En cas de suspicion de compromission, renouveler immédiatement tous les identifiants associés à l’application NMIS/BioDose et à sa base de données après l’application du correctif.

  • Isoler l’hôte compromis du réseau pour prévenir tout mouvement latéral.

  • Présumer que toutes les données gérées par l’application ont été compromises et lancer une enquête forensique pour déterminer l’étendue de la violation.

  • Défense en profondeur :

  • Utiliser la segmentation du réseau pour garantir que le serveur de base de données n’accepte les connexions que depuis le serveur d’application.

  • Réviser régulièrement les privilèges des utilisateurs et des comptes de service, en appliquant le principe du moindre privilège.

  • S’assurer de disposer de procédures robustes de sauvegarde et de restauration pour toutes les données critiques de l’application.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *