CVE-2026-5966: Suppression arbitraire de fichiers dans ThreatSonar Anti-Ransomware
Sommaire exécutif
Section intitulée « Sommaire exécutif »La CVE-2026-5966 est une vulnérabilité de suppression arbitraire de fichiers identifiée dans la solution Anti-Ransomware ThreatSonar développée par TeamT5. Cette vulnérabilité, classée CWE-23, provient d’une neutralisation inadéquate des éléments spéciaux utilisés dans les chemins de fichiers, communément appelée traversée de répertoire (path traversal).
La faille permet à un attaquant distant authentifié de fournir des paramètres d’entrée manipulés à des points de terminaison web spécifiques, permettant la suppression de fichiers arbitraires sur le système hôte. Compte tenu de la nature de l’application en tant qu’outil anti-ransomware, cette vulnérabilité présente un risque critique si elle est exploitée pour supprimer des binaires liés à la sécurité ou des fichiers de configuration.
Analyse de la cause profonde
Section intitulée « Analyse de la cause profonde »Les analyses indiquent que le problème réside dans le sous-système de gestion des fichiers de l’application. Le point de terminaison responsable des opérations sur les fichiers manque de validation rigoureuse du chemin de fichier fourni dans les données fournies par l’utilisateur. Un attaquant peut utiliser des séquences telles que ../ pour s’échapper du répertoire racine prévu de l’application et accéder ou manipuler des zones restreintes du système de fichiers.
Exploitation
Section intitulée « Exploitation »Bien qu’une preuve de concept entièrement weaponisée soit actuellement absente des dépôts publics, la vulnérabilité suit les modèles standard de traversée de répertoire. L’exploitation implique de cibler les points de terminaison API authentifiés impliqués dans la suppression de fichiers.
Voici une structure de charge utile conceptuelle pour les tests :
POST /api/v1/delete_file HTTP/1.1Host: [Cible]Content-Type: application/json
{ "file_path": "../../../windows/system32/config/SAM"}Le processus de l’application exécute ces requêtes avec les privilèges du service, qui fonctionnent souvent avec des droits administratifs ou de niveau système sur les environnements Windows.
Artefacts forensiques
Section intitulée « Artefacts forensiques »Sur la base de ces analyses, les enquêteurs forensiques devraient rechercher les preuves suivantes :
- Système de fichiers : indications de suppression non autorisée de binaires système, de fichiers de configuration critiques ou de composants de l’anti-ransomware.
- Journaux du serveur web : journaux d’accès IIS contenant des requêtes vers les points de terminaison de gestion de fichiers avec des modèles de chemin atypiques (
../). - Journaux d’événements Windows : recherchez l’ID d’événement 4663 (Une tentative d’accès à un objet a été faite), à condition que l’audit d’accès aux objets soit activé pour les répertoires ciblés.
- Journaux de l’application : examinez les journaux spécifiques au service ThreatSonar, en recherchant les exceptions ou les erreurs opérationnelles liées aux échecs de suppression de fichiers ou aux problèmes de résolution de chemin.
Logique de détection
Section intitulée « Logique de détection »title: Possible Path Traversal Attemptid: 5b6c2d1a-f3e4-4a5c-8b2d-9e7f8c1b2a3cstatus: experimentaldescription: Détecte les tentatives de traversée de répertoire dans les requêtes web ciblant les points de terminaison de suppression de fichiers.logsource: category: web product: iisdetection: selection: cs-uri-query|contains: - '../' - '..\\' condition: selectionpriority: highSigninLogs| where RequestPath contains "delete"| where RequestPath contains ".."| project TimeGenerated, ClientIP, RequestPath, UserAgent| summarize count() by ClientIP, RequestPath