🪲 Semaine 1 — CVE les plus discutées

Problème de sécurité dans MongoDB

Une vulnérabilité a été identifiée dans certains en-têtes de protocole compressé Zlib, permettant à un client non authentifié de lire des parties de mémoire non initialisée. Cette faiblesse pourrait être exploitée par des attaquants pour obtenir des informations sensibles.

Versions affectées :

• MongoDB Server v7.0 : versions antérieures à 7.0.28
• MongoDB Server v8.0 : versions antérieures à 8.0.17
• MongoDB Server v8.2 : versions antérieures à 8.2.3
• MongoDB Server v6.0 : versions antérieures à 6.0.27
• MongoDB Server v5.0 : versions antérieures à 5.0.32
• MongoDB Server v4.4 : versions antérieures à 4.4.30
• MongoDB Server v4.2 : versions à partir de 4.2.0
• MongoDB Server v4.0 : versions à partir de 4.0.0
• MongoDB Server v3.6 : versions à partir de 3.6.0

Explications des acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance.
• SSRF (Server-Side Request Forgery) : Falsification de requêtes côté serveur.
• XSS (Cross-Site Scripting) : Script intersite permettant l’injection de code malveillant.

Il est conseillé de mettre à jour vers les versions corrigées pour se protéger contre cette vulnérabilité.

Une vulnérabilité de l'exécution de code à distance (RCE, Remote Code Execution) pré-authentification existe dans les versions de React Server Components suivantes : 19.0.0, 19.1.0, 19.1.1, et 19.2.0. Cette vulnérabilité concerne également les paquets suivants :

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

Détails de la vulnérabilité :

• La vulnérabilité permet à un attaquant d'exécuter du code malveillant sur le serveur, sans nécessité de s'authentifier préalablement.
• Le code vulnérable désérialise de manière non sécurisée les données provenant des requêtes HTTP vers des endpoints de fonction serveur. Cela signifie que les données peuvent être manipulées pour injecter du code.

Terminologie :

• RCE (Remote Code Execution) : Exécution de code arbitraire sur un serveur distant.
• Deserialization : Processus de conversion de données en un objet/programme. Une désérialisation non sécurisée peut conduire à des vulnérabilités.

Il est recommandé de mettre à jour vers les versions sécurisées de React Server Components pour corriger cette vulnérabilité.

Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant non authentifié de télécharger des fichiers arbitraires à n'importe quel emplacement sur le serveur de messagerie. Cela pourrait potentiellement conduire à une exécution de code à distance (RCE, Remote Code Execution), où l'attaquant pourrait exécuter des commandes malveillantes sur le serveur.

Points clés :

• Vulnérabilité : Un défaut de sécurité qui permet aux attaquants de compromettre un système.
• Attaquant non authentifié : Une personne n'ayant pas besoin de se connecter pour exploiter la vulnérabilité.
• Fichiers arbitraires : Fichiers choisis par l'attaquant, pouvant inclure des scripts ou des exécutables.
• Serveur de messagerie : Serveur utilisé pour envoyer et recevoir des e-mails.
• Exécution de code à distance (RCE) : Capacité d'un attaquant à exécuter des commandes sur un serveur distant.

Cette situation peut avoir des conséquences graves, permettant à l'attaquant de compromettre l'intégrité, la confidentialité et la disponibilité du serveur.

IBM API Connect, versions 10.0.8.0 à 10.0.8.5 et 10.0.11.0, présente une vulnérabilité permettant à un attaquant distant de contourner les mécanismes d'authentification. Cela pourrait lui donner un accès non autorisé à l'application.

Détails de la vulnérabilité :

• Produit concerné : IBM API Connect
• Versions vulnérables : 10.0.8.0 à 10.0.8.5 et 10.0.11.0
• Type de vulnérabilité : Contournement d'authentification

Risques associés :

• Accès non autorisé : Les attaquants peuvent exploiter cette vulnérabilité pour accéder à des données sensibles ou effectuer des actions non autorisées.

Acronymes utiles :

• RCE (Remote Code Execution) : Exécution de code à distance, où un attaquant peut exécuter des commandes sur un système vulnérable.
• SSRF (Server-Side Request Forgery) : Technique qui permet à un attaquant d'envoyer des requêtes à d'autres serveurs via le serveur vulnérable.
• XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des pages web visualisées par d'autres utilisateurs.

Recommandations :

• Mettre à jour vers les versions sécurisées d'IBM API Connect.
• Renforcer les mécanismes d'authentification pour prévenir les contournements.

Vulnérabilité de Sécurité dans FortiOS

• Une vulnérabilité d'authentification incorrecte a été découverte dans SSL VPN de FortiOS versions 6.4.0, 6.2.0 à 6.2.3, et 6.0.9 et inférieures.
• Cette faille pourrait permettre à un utilisateur de se connecter avec succès sans être invité à fournir le deuxième facteur d'authentification (FortiToken), simplement en modifiant la casse de son nom d'utilisateur.

Détails Techniques

• SSL VPN : un service permettant des connexions sécurisées à un réseau à distance via le protocole SSL.
• FortiToken : un système d'authentification à deux facteurs utilisé pour renforcer la sécurité lors de la connexion.
• Authentification Incorrecte : le système de sécurité n'exige pas le FortiToken si l'utilisateur change la casse de son nom, ce qui réduit la sécurité.

Risques

• Ce type de vulnérabilité pourrait permettre à un attaquant d'accéder à des informations sensibles sans respecter les mesures d'authentification mises en place.

Recommandation

• Il est conseillé de mettre à jour FortiOS vers une version corrigée pour éliminer cette vulnérabilité d'authentification.

Le routeur D-Link DIR-645 (versions Rev. Ax) avec le firmware 1.04b12 et les versions antérieures présente une vulnérabilité. Cette faille permet à des attaquants distants d'exécuter des commandes arbitraires via une action GetDeviceSettings sur l'interface HNAP (Home Network Administration Protocol).

Explications des termes clés :

• RCE (Remote Code Execution) : Exécution à distance de code, permettant à un attaquant d'exécuter des commandes sur un système à distance.
• HNAP : Protocole d'administration des réseaux domestiques, utilisé par les routeurs pour gérer les paramètres du réseau.

Points importants :

• Vulnérabilité : Les versions de firmware avant la 1.04b12 sont affectées.
• Impact : Un attaquant peut potentiellement contrôler le routeur à distance, ce qui met en danger le réseau de l'utilisateur.

Recommandations :

• Mettre à jour le firmware à la dernière version disponible pour éviter cette vulnérabilité.
• Surveiller les activités réseau suspectes pour détecter toute tentative d’exploitation de cette faille.

Le routeur ZyXEL P660HN-T1A v1 avec le firmware TCLinux $7.3.15.0 v001 / 3.40(ULM.0)b31, distribué par TrueOnline, présente une vulnérabilité d'injection de commandes. Voici les détails :

• Type de vulnérabilité : Injection de commandes - Cela permet à un attaquant d'exécuter des commandes non autorisées sur le système.
• Fonction affectée : Transfert des journaux système à distance - Cette fonction permet d'envoyer les journaux à un autre système.
• Accès : La vulnérabilité peut être exploitée par un utilisateur non authentifié, ce qui signifie qu'aucune identification n'est requise pour y accéder.
• Page vulnérable : ViewLog.asp - C'est la page qui permet de consulter les journaux et qui contient la faille.
• Paramètre exploitable : remote_host - Ce paramètre peut être manipulé pour réaliser l'injection de commandes.

Résumé des acronymes :

• RCE (Remote Command Execution) : Exécution de commandes à distance.
• SSRF (Server-Side Request Forgery) : Détournement de requêtes côté serveur.
• XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des pages web visitées par d'autres utilisateurs.

Cette vulnérabilité souligne l'importance de sécuriser les équipements réseau pour prévenir les accès non autorisés.

Une vulnérabilité a été découverte sur les routeurs domestiques Dasan GPON. Voici les détails :

• Type de vulnérabilité : Injection de commande (Command Injection)
• Paramètre concerné : dest_host dans une requête diag_action=ping à l'URI GponForm/diag_Form.

Explication de l'Injection de Commande :

• L'injection de commande permet à un attaquant d'exécuter des commandes non autorisées sur le système.

Détails de l'attaque :

• Les résultats des commandes ping sont enregistrés dans un fichier temporaire /tmp.
• Lorsque l'utilisateur retourne sur /diag.html, le routeur lui transmet ces résultats.
• Cela signifie qu'un attaquant peut facilement exécuter des commandes et récupérer leur sortie via cette vulnérabilité.

Conséquences possibles :

• Cette vulnérabilité peut permettre à un attaquant de prendre le contrôle du routeur ou d'accéder à des informations sensibles.

Actions recommandées :

• Il est conseillé de mettre à jour le firmware des routeurs Dasan GPON pour corriger cette vulnérabilité dès qu'un correctif est disponible.

Une vulnérabilité de sécurité a été identifiée dans le MICS Admin Portal de Ivanti MobileIron Sentry pour les versions 9.18.0 et inférieures. Voici les points clés :

• Nature de la vulnérabilité : Cette faille pourrait permettre à un attaquant de contourner les contrôles d'authentification sur l'interface administrative.
• Cause : La configuration d'Apache HTTPD (un serveur web) est insuffisamment restrictive, ce qui expose le système à des attaques potentielles.

Explications des termes :

• Vulnérabilité : Un défaut dans un système qui permet à un attaquant d'effectuer des actions non autorisées.
• Contrôles d'authentification : Méthodes utilisées pour vérifier l'identité d'un utilisateur avant qu'il n'accède à un système.
• Apache HTTPD : Serveur web populaire qui gère les requêtes HTTP.

Il est crucial pour les administrateurs de mettre à jour leurs systèmes vers des versions sécurisées pour éviter d'éventuelles violations de sécurité.

Une vulnérabilité d'injection de modèle dans les anciennes versions de Confluence Data Center et Server permet à un attaquant non authentifié d’obtenir une RCE (Remote Code Execution ou exécution de code à distance) sur une instance affectée. Les clients utilisant une version vulnérable doivent agir immédiatement.

• RCE : Exécution de code à distance, permettant à un attaquant d'exécuter du code sur un serveur à distance.

Les versions les plus récentes et prises en charge de Confluence Data Center et Server ne sont pas affectées par cette vulnérabilité, car elle a été atténuée lors des mises à jour régulières.

Cependant, Atlassian recommande aux clients de veiller à installer la dernière version pour protéger leurs instances contre des vulnérabilités non critiques, comme celles mentionnées dans le bulletin de sécurité de janvier d'Atlassian.

En résumé, il est crucial de maintenir à jour ses logiciels pour éviter les risques liés à ces vulnérabilités.

Une vulnérabilité a été découverte dans les modèles TBK DVR-4104 et DVR-4216 jusqu'à la date 20240412 et a été classée comme critique. Ce problème concerne un traitement inconnu du fichier /device.rsp?opt=sys&cmd=SO_S_T_R_E_A_MAX.

Voici les points clés :

• Injection de commande OS : La manipulation de l'argument mdb/mdc permet à un attaquant d'exécuter des commandes sur le système d'exploitation de l'appareil. Cela est connu sous le nom d'RCE (Remote Code Execution).
• Exploitation à distance : L'attaque peut être initiée à distance, ce qui signifie qu'un attaquant n'a pas besoin d'accès physique à l'appareil pour lancer l'attaque.
• Vulnérabilité publique : L'exploit a été rendu public, ce qui augmente le risque d'attaques.
• Identifiant : Cette vulnérabilité a été répertoriée sous l'identifiant VDB-260573.

Il est recommandé de mettre à jour les appareils concernés afin de corriger cette faille de sécurité.

• Une vulnérabilité par dépassement de tampon basé sur la pile (stack-based buffer overflow) a été identifiée dans SonicOS.
• Cette faille permet à un attaquant distant non authentifié d'exécuter des actions nuisibles.
• L'attaquant peut provoquer une interruption de service (Denial of Service - DoS), ce qui pourrait conduire le pare-feu affecté à planter (crasher).

Termes importants :

• Dépassement de tampon : un type de vulnérabilité où un programme écrit plus de données dans un espace mémoire alloué, ce qui peut entraîner des comportements inattendus.
• Denial of Service (DoS) : une attaque visant à rendre un service, comme un site web ou un pare-feu, inaccessible aux utilisateurs légitimes.

Conclusion :

Cette vulnérabilité est critique pour les utilisateurs de SonicOS, car elle peut compromettre la disponibilité du pare-feu sans nécessiter d'authentification préalable par l'attaquant.