Résumé de la vulnérabilité

• Une vulnérabilité a été détectée dans l'authentification de peering du Cisco Catalyst SD-WAN Controller (anciennement SD-WAN vSmart) et du Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage).
• Cette vulnérabilité permettrait à un attaquant à distance et non authentifié de contourner l'authentification.
• Cela pourrait lui donner des privileges administratifs sur le système affecté.

Détails Techniques

• La vulnérabilité résulte d'un mécanisme d'authentification de peering défaillant.
• L'attaquant pourrait exploiter cette faille en envoyant des requêtes spécialement conçues vers le système affecté.
• Une exploitation réussie pourrait permettre à l'attaquant de se connecter au Cisco Catalyst SD-WAN Controller en tant qu'utilisateur interne avec des privilèges élevés, mais non-root.
• Grâce à cet accès, l'attaquant aurait la possibilité d'accéder à NETCONF, qui lui permettrait de modifier la configuration du réseau pour le SD-WAN.

Principaux Acronymes

• RCE (Remote Code Execution) : Exécution de code à distance.
• SSRF (Server-Side Request Forgery) : Effraction de requête côté serveur.
• XSS (Cross-Site Scripting) : Injection de scripts dans une page web.

Cette vulnérabilité souligne l'importance de sécuriser les mécanismes d'authentification pour éviter les accès non autorisés aux systèmes critiques.

Vulnérabilité d'injection de commande OS dans FileZen

FileZen présente une vulnérabilité d'injection de commande au niveau du système d'exploitation (OS Command Injection). Voici les détails :

• Produit concerné : FileZen
• Type de vulnérabilité : Injection de commande OS
• Fonctionnalité impactée : Option de vérification antivirus de FileZen

Détails de la vulnérabilité

• Situation : Quand l'option de vérification antivirus est activée, un utilisateur connecté peut envoyer une requête HTTP spécialement conçue.
• Risques : Cela permet à l'utilisateur d'exécuter des commandes arbitraires sur le système d'exploitation.

Concepts clés

• Injection de commande OS : C'est une attaque où un attaquant insère des commandes dans des entrées d'un programme, permettant d'exécuter du code non autorisé sur le système.

Attention : Les utilisateurs de FileZen doivent être vigilants et mettre à jour leur système pour se prémunir contre cette vulnérabilité.

Analyse de la vulnérabilité

Produit concerné : BeyondTrust Remote Support (RS) et certaines anciennes versions de Privileged Remote Access (PRA).

Détails de la vulnérabilité

• Type de vulnérabilité : Exécution de code à distance (RCE)

• Cela signifie qu'un attaquant peut exécuter des commandes sur le système distant sans être authentifié.

• Criticité : Élevée

• Une vulnérabilité de pré-authentification indique qu'aucune connexion préalable n'est requise pour l'exploiter.

Méthode d'attaque

• Technique utilisée : Envoi de requêtes spécialement conçues
• Un attaquant distant non authentifié peut envoyer des requêtes malveillantes pour exécuter des commandes du système d'exploitation dans le contexte de l'utilisateur du site.

Implications

• Impact : Un attaquant pourrait potentiellement compromettre l'intégrité et la confidentialité des systèmes affectés.

• Recommandation : Il est crucial de mettre à jour vers les dernières versions des produits concernés pour se prémunir contre cette vulnérabilité.

En résumé, cette vulnérabilité critique pose un risque sérieux pour la sécurité, et une action rapide est nécessaire pour protéger les systèmes affectés.

Traduction et Explication

• Vulnérabilité de contrôle d’accès défaillant : Une faille dans Serv-U permet à un acteur malveillant de créer un utilisateur administrateur système.

• Lorsqu'elle est exploitée, cette vulnérabilité permet également d'exécuter du code arbitraire avec des privilèges élevés grâce à des droits d'administrateur de domaine ou de groupe.

• Cela nécessite des privilèges administratifs pour être abusé.

• Déploiements Windows : Le risque est évalué comme moyen car, par défaut, les services fonctionnent souvent sous des comptes de services moins privilégiés.

Acronymes

• RCE (Remote Code Execution) : Exécution de code à distance, une vulnérabilité qui permet de faire exécuter du code sur un système cible.

• SSRF (Server-Side Request Forgery) : Falsification de requêtes côté serveur, permettant à un attaquant d'interroger des services internes.

• XSS (Cross-Site Scripting) : Script intersite, une faille permettant à des scripts malveillants d'être injectés dans des pages web.

Cette vulnérabilité constitue un risque sérieux, surtout lorsqu'elle est exploitée dans des environnements sensibles.

Vulnérabilité de permission incorrecte dans Juniper Networks Junos OS Evolved

Une vulnérabilité de permission incorrecte pour une ressource critique dans le cadre de détection des anomalies d'On-Box de Juniper Networks Junos OS Evolved sur les séries PTX permet à un attaquant non authentifié, basé sur le réseau, d'exécuter du code en tant que root (l'utilisateur avec des privilèges administratifs).

Détails de la vulnérabilité :

• Accès non autorisé : Le cadre On-Box devrait uniquement être accessible par d'autres processus internes via une instance de routage interne, et non par un port exposé à l'extérieur.
• Impact : Un attaquant distant peut ainsi prendre le contrôle complet de l'appareil.
• Configuration par défaut : Ce service est activé par défaut, sans configuration spécifique requise.

Versions affectées :

• Junos OS Evolved sur les séries PTX :
• Versions 25.4 avant 25.4R1-S1-EVO et 25.4R2-EVO.
• Non affectées : Les versions de Junos OS Evolved antérieures à 25.4R1-EVO et toute autre version de Junos OS.

Terminologie :

• RCE : Remote Code Execution, exécution de code à distance.
• SSRF : Server-Side Request Forgery, une attaque qui permet de manipuler un serveur pour qu'il fasse des requêtes non autorisées.
• XSS : Cross-Site Scripting, une vulnérabilité qui permet à un attaquant d'injecter des scripts malveillants dans le contenu affiché à d'autres utilisateurs.

Dell RecoverPoint for Virtual Machines, versions antérieures à 6.0.3.1 HF1, présentent une vulnérabilité due à des identifiants codés en dur.

Détails de la vulnérabilité :

• Type de vulnérabilité : Credentiels codés en dur
• Niveau de gravité : Critique
• Impact : Un attaquant distant non authentifié, qui connaît ces identifiants, pourrait exploiter cette vulnérabilité. Cela entraînerait un accès non autorisé au système d'exploitation sous-jacent et à un niveau de persistance root (administrateur).

Recommandations :

• Dell recommande aux clients de mettre à jour leur logiciel ou d'appliquer une des solutions pour corriger cette vulnérabilité dès que possible.

Acronymes utiles :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant d'exécuter des commandes sur le système.
• SSRF (Server-Side Request Forgery) : Contournement d'accès pour intégrer des requêtes entre serveurs.
• XSS (Cross-Site Scripting) : Injection de scripts malveillants dans des pages web consultées par d'autres utilisateurs.

Il est crucial d'agir rapidement pour éviter tout risque.

Vulnérabilité de type "Use after free" dans Google Chrome

• Vulnérabilité : Utilisation après libération (Use after free)
• Produit concerné : Google Chrome (versions antérieures à 145.0.7632.75)
• Impact : Cette vulnérabilité permet à un attaquant distant d'exécuter du code arbitraire à l'intérieur d'un environnement isolé (sandbox) en utilisant une page HTML spécialement conçue.

Explications des termes : - Use after free : Se produit lorsque le programme continue à utiliser un espace mémoire après que celui-ci ait été libéré, ce qui peut permettre à un attaquant d'exécuter du code malveillant. - Remote Code Execution (RCE) : Exécution à distance de code, un type de vulnérabilité qui permet à un attaquant d'exécuter du code sur un système cible à distance. - Sandbox : Environnement sécurité dans lequel les applications sont exécutées de manière isolée pour limiter les dommages potentiels.

• Gravité : Haute (selon l’évaluation de sécurité de Chromium)

Un patch a donc été nécessaire pour corriger cette vulnérabilité et protéger les utilisateurs de Google Chrome.

Vulnérabilité du NETGEAR DGN1000

Le NETGEAR DGN1000, avant la version 1.1.00.48, présente une vulnérabilité d'évasion d'authentification. Voici les détails principaux :

• Nature de la vulnérabilité : Un attaquant distant et non authentifié peut exécuter des commandes arbitraires du système d'exploitation en envoyant des requêtes HTTP spécialement conçues vers le point de terminaison setup.cgi.

• Impact : Cette vulnérabilité permet à un intrus de prendre le contrôle du système en utilisant des commandes système avec des privilèges root.

• Historique d'exploitation : Il a été constaté que cette vulnérabilité a été exploitée dans la nature depuis au moins 2017. Elle a été spécifiquement identifiée par la Shadowserver Foundation le 6 février 2025 (UTC).

Acronymes utiles :

• RCE : Remote Code Execution (Exécution de code à distance)
• HTTP : Hypertext Transfer Protocol, le protocole utilisé pour la communication sur le web.

Cette situation met en avant l'importance de mettre à jour les dispositifs pour éviter les attaques potentielles.

Vulnérabilité de Roundcube Webmail

Roundcube Webmail, dans ses versions antérieures à 1.5.10 et 1.6.x avant 1.6.11, présente une faille de sécurité permettant une exécution de code à distance (RCE). Voici les détails :

• Problème identifié : L'absence de validation du paramètre _from dans une URL au sein du fichier program/actions/settings/upload.php.

• Conséquence : Cela peut mener à une désérialisation d'objet PHP (PHP Object Deserialization), une technique utilisée par les attaquants pour injecter du code malveillant.

• Utilisateurs concernés : Cette vulnérabilité affecte les utilisateurs authentifiés, ce qui signifie que n'importe quel utilisateur ayant accès à son compte peut potentiellement exploiter cette faille.

Résumé des acronymes :

• RCE (Remote Code Execution) : Exécution de code à distance, permettant à un attaquant de faire fonctionner du code arbitraire sur un serveur.
• PHP Object Deserialization : Processus par lequel un objet PHP est reconstruit à partir de données sérialisées, pouvant être manipulé pour exécuter du code.

Il est crucial de mettre à jour Roundcube Webmail vers les versions sûres mentionnées pour éviter cette vulnérabilité.

Traduction et explication

Le routeur D-Link DIR-645 (modèle Rev. Ax) avec le firmware 1.04b12 et les versions antérieures présente une vulnérabilité. Voici les détails de la vulnérabilité :

• Vulnérabilité : Permet à des attaquants distants d'exécuter des commandes arbitraires.
• Voie d'exploitation : Cette vulnérabilité est accessible via une action GetDeviceSettings sur l'interface HNAP (Home Network Administration Protocol).

Concepts clés

• Firmware : Le logiciel intégré au matériel, qui contrôle son fonctionnement.
• Attaque à distance : Une méthode où un attaquant n'a pas besoin d'accès physique au dispositif pour l'exploiter.
• HNAP : Un protocole utilisé pour gérer et configurer des appareils réseau.

Pourquoi est-ce préoccupant ?

• L'exécution de commandes arbitraires signifie que les attaquants pourraient potentiellement prendre le contrôle complet du routeur, compromettant ainsi la sécurité du réseau local et des appareils connectés.

Importance de la mise à jour

Il est essentiel de mettre à jour le firmware à la version la plus récente pour protéger votre appareil contre cette vulnérabilité.

Le routeur ZyXEL P660HN-T1A v1 avec le firmware TCLinux Fw $7.3.15.0 v001 / 3.40(ULM.0)b31, distribué par TrueOnline, présente une vulnérabilité d'injection de commande. Cette faille se trouve dans la fonction de transfert des journaux systèmes distants et est accessible par un utilisateur non authentifié.

Détails de la vulnérabilité :

• Type : Injection de commande
• Localisation : Page ViewLog.asp
• Paramètre exploitable : remote_host

Implications :

• RCE (Remote Code Execution) : Cette vulnérabilité peut permettre l'exécution de codes à distance, offrant à un attaquant la possibilité de contrôler le routeur.
• Impact de sécurité : Un attaquant peut accéder à des informations sensibles ou prendre le contrôle du dispositif sans nécessiter d’authentification.

Recommandations :

• Mettre à jour le firmware si une version corrigée est disponible.
• Évaluer la sécurité de votre réseau et limiter l'accès aux services non essentiels.

Vulnérabilité de Log4j

Produit concerné : Apache Log4j2 (versions 2.0-beta9 à 2.15.0, sauf les releases de sécurité 2.12.2, 2.12.3 et 2.3.1).

Description de la vulnérabilité : - Les fonctionnalités JNDI (Java Naming and Directory Interface) utilisées dans la configuration, les messages de log et les paramètres ne protègent pas contre les points de terminaison LDAP (Lightweight Directory Access Protocol) contrôlés par un attaquant. - Un attaquant ayant la capacité de contrôler les messages de log ou leurs paramètres peut exécuter du code arbitraire à partir de serveurs LDAP, à condition que la substitution de recherche de message soit activée.

Évolutions des versions : - À partir de la version 2.15.0, ce comportement a été désactivé par défaut. - À partir de la version 2.16.0, cette fonctionnalité a été complètement supprimée.

Impact : - Cette vulnérabilité est spécifique à log4j-core et n'affecte pas log4net, log4cxx, ou d'autres projets des Apache Logging Services.

Acronymes :

• RCE : Remote Code Execution (Exécution de code à distance)
• SSRF : Server-Side Request Forgery (Usurpation de requêtes côté serveur)
• XSS : Cross-Site Scripting (Script intersite, une vulnérabilité web)