Vulnérabilité critique dans le proxy Web Squid (CVE-2025-62168)
Résumé
Le 17 octobreth, le projet de proxy Web open source Squid a publié un avis concernant une vulnérabilité de divulgation d'informations dans son célèbre logiciel proxy Squid. Cette vulnérabilité peut être exploitée pour révéler du matériel d'authentification interne confidentiel à des parties non autorisées. La vulnérabilité a également reçu le score de risque CVSS le plus élevé possible, soit 10,0. Les proxys Squid sont généralement déployés face à Internet de par leur conception, et un matériel d'authentification compromis pourrait accorder aux acteurs de la menace un accès initial au réseau d'une organisation.
La vulnérabilité semble provenir du code traitant de la fonctionnalité de gestion des erreurs, en particulier de la logique du programme qui gère la rédaction d'informations sensibles lors de l'affichage ou du signalement de messages d'erreur de diagnostic.
Le bogue a été découvert par un chercheur d'une société de cybersécurité légitime, signalé à l'organisation Squid et corrigé via les processus de mise à jour normaux. Aucune description technique détaillée du bogue ou des exploits publics de preuve de concept (PoC) n'était disponible au moment de la rédaction. Le code source et le correctif sont toutefois accessibles au public et Beazley Security s'attend à ce que les acteurs de la menace comprennent suffisamment le bogue pour en faire des exploits militaires dans les prochains jours.
Les organisations concernées doivent appliquer les correctifs de sécurité dès que possible.
Systèmes et produits concernés
Les versions 7.1 et inférieures du logiciel proxy Squid sont affectées par cette vulnérabilité. Consultez le tableau ci-dessous et la section Atténuations et solutions pour obtenir des recommandations si les mises à jour ne peuvent pas être appliquées.
Atténuations et solutions de contournement
L'organisation logicielle Squid a noté que si les correctifs ne peuvent pas être appliqués immédiatement, la fonctionnalité de débogage concernée peut être désactivée pour contourner le problème.
Dans squid.conf, incluez les éléments suivants :
email_err_data offPatchs
Les correctifs ont déjà été mis à disposition dans le référentiel de code source officiel à l'adresse https://github.com/squid-cache.
Détails techniques
L'organisation Squid n'a pas fourni de description détaillée de la vulnérabilité dans son consultatif, mais le logiciel est open source, et le correctif de code et les commentaires associés peuvent être consultés dans le Commit sur GitHub.
Selon ces commentaires, une logique visant à filtrer les informations sensibles avait été mise en œuvre, mais il manquait des éléments. Les correctifs proposés ajoutent des objets pour masquer les données sensibles. En outre, le commutateur de configuration permettant d'ajouter des données d'erreur détaillées aux « liens mailto » sortants était désactivé par défaut.
Comment Beazley Security réagit
Beazley Security surveille les appareils périmétriques des clients via notre plateforme de gestion des expositions afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.
Si vous pensez que votre organisation a peut-être été touchée par cette campagne d'attaque et a besoin d'aide, veuillez contactez notre équipe de réponse aux incidents.
Sources
Aware of an incident impacting your industry? Let us know: