Embed Notice

Allez, je vous parle de l'expérience que ma boite a eu avec l' #IA et comment j'ai juste envie de vomir un peu plus, mais cette fois ci tout en rigolant très très fort.

On vient de recevoir un mail du gars qui gère la partie réseau wan et téléphonie de notre boite et de nos clients. Grosse alerte, des CVE à 10 détectés dans un grand paquet de nos clients. Cette détection a été faite au travers de l'outil que le FAI #sewan fournit.
Grosso modo, il scanne les différentes IP des clients qu'on a chez eux, et fait une analyse de ports avec une notification sur les CVE connues et détectées.

Chez nos clients, on a un GROS GROS nombre de failles critiques. Principalement pour du SSH accessible avec une faille critique et élévation de droits...

C'est terrible, me direz-vous... Oui, en effet. En effet... MAIS.

Mais en regardant le descriptif de la faille, quelque chose m'intrigue : la version de SSH concernée... 3.7.1. Je me dis "merde, c'est vieux ça... c'est quoi ce délire ?"

Je me connecte sur un équipement concerné, je vois que la version d'openssh en face est... 7.2. Donc pas concernée par la CVE. Bizarre...

Je continue mes investigations et là, je vois que chez un autre client j'ai le port 21, FileZilla FTPD, avec une CVE à 10. J'ai possibilité de voir directement le descriptif de la CVE depuis la page de scan et je vois que... ça concerne Microsoft IIS 10.0. Et pas du tout Filezilla.

WTF.jpg

Mais sur le site, j'ai aussi directement la possibilité de rebondir sur le NIST pour voir la CVE et là... ça concerne pas IIS. Ca concerne pas FileZilla... ça concerne Adobe Flash Player version 13.

WTF_2.jpg

Et là... je remarque un petit truc sur la description de la CVE depuis la page Sewan... Tout ça est généré par IA.

Et tout est erroné.

Vous êtes d'énormes tocards