La NSA publie une version corrigée du logiciel de rétro-ingénierie Ghidra

Ghidra est un logiciel de rétro-ingénierie développé par la NSA (Agence nationale de la sécurité), organisme gouvernemental du département de la Défense des États-Unis. Il est utilisé depuis plus de 10 ans par les experts de l'Agence dans le but de rechercher les dysfonctionnements de sécurité liés aux logiciels et aux applications.

Le logiciel est développé en Java, et est doté d’une interface utilisateur graphique (GUI), ce qui lui permet de fonctionner sur diverses plates-formes notamment Windows, macOS et Linux.

Le 4 avril 2019, le code source de Ghidra 9.0.2 a été publié sur GitHub, le service web d’hébergement et de gestion de développement de logiciels. Jusqu'alors, Ghidra n'était disponible au téléchargement que sur le site officiel de la NSA. 

Dès la sortie du logiciel, Matthew Hickey, qui est un pirate informatique et un expert en cybersécurité, fondateur de la société britannique Hacker House, a été le premier à signaler un problème de sécurité dans Ghidra via son compte Twitter.

 

Détails techniques

Matthew Hickey a remarqué une vulnérabilité qui permet l’exécution de code à distance. En mode deboguage, le logiciel ouvre le port JDWP 18001 pour toutes les interfaces utilisateur, ce qui permet à n'importe qui sur le réseau d'exécuter à distance du code arbitraire sur le système des analystes.

Le mode de débogage n'est pas actif par défaut. Aussi, pour palier au dysfonctionnement, Matthew Hickey propose de modifier une ligne du programme de lancement pour qu'il écoute uniquement les connexions à partir de la machine locale. (Ligne 150 du fichier support/launch.sh de * à 127.0.0.1).

Le bogue a été corrigé dans la dernière version du logiciel (version 9.0.2).