Le DocuShare de Xerox peut causer des fuites de données

0

Xerox a publié un correctif pour deux vulnérabilités affectant sa plateforme de gestion de documents d’entreprise DocuShare. Les failles de sécurité, si elles sont exploitées, pourraient exposer les utilisateurs de DocuShare à une attaque entraînant la perte de données sensibles.

La Cybersecurity and Infrastructure Security Agency (CISA) a publié un bulletin de sécurité recommandant aux utilisateurs et aux administrateurs d’appliquer un correctif qui corrigeait deux failles de sécurité dans les versions récemment publiées (6.6.1, 7.0 et 7.5) du DocuShare de Xerox. La vulnérabilité est jugée importante.

Identifiée comme CVE-2020-27177, Xerox a déclaré que les failles de sécurité rendaient les utilisateurs de DocuShare sur Solaris, Linux et Windows vulnérables à la fois à une attaque de falsification de requête côté serveur (SSRF) et à une attaque par injection d’entité XML externe non authentifiée (XXE). Xerox a publié son avis de sécurité (XRX20W) le 30 novembre.

xerox docushare

Xerox n’a pas partagé les spécificités des failles de sécurité ou des scénarios d’attaque possibles. Dans son «Mini Bulletin», il proposait des liens vers des correctifs de fichiers d’archivage tarball traitant les vulnérabilités dans les versions de DocuShare affectées surSolaris, Linux et Windows.

Cependant, un correctif pour la version Solaris de DocuShare 7.5 n’est pas disponible.

Vecteurs de menace potentielle de DocuShare

Une vulnérabilité SSRF permettrait à un attaquant d’abuser des fonctionnalités d’un serveur hébergeant le logiciel en tant que service (SaaS) DocuShare. Une attaque SSRF réussie permet généralement à un adversaire de lire ou de mettre à jour les ressources internes.

«L’attaquant peut fournir ou modifier une URL à laquelle le code exécuté sur le serveur lira ou soumettra des données, et en sélectionnant soigneusement les URL, l’attaquant peut être en mesure de lire la configuration du serveur telle que les métadonnées AWS, se connecter à des services internes comme http, des bases de données activées ou effectuer des demandes de publication vers des services internes qui ne sont pas destinés à être exposés », selon une description de la Fondation OWASP d’une attaque SSRF.

Un XXE est un type d’attaque contre une application qui analyse l’entrée XML. «Cette attaque se produit lorsque l’entrée XML contenant une référence à une entité externe est traitée par un analyseur XML faiblement configuré», décrit OWASP.

xerox docushare

Une attaque XXE réussie permettrait à un cybercriminel d’accéder à des données confidentielles et pourrait également faciliter des attaques qui incluent: «déni de service, falsification de requête côté serveur et analyse de port du point de vue de la machine sur laquelle se trouve l’analyseur», selon l’OWASP.

Le chasseur de bugs Julien Ahrens (@MrTuxracer) est crédité pour avoir trouvé la faille de sécurité et l’avoir porté à l’attention de Xerox.

Xerox DocuShare est un système de gestion de documents d’entreprise utilisé par les moyennes et grandes entreprises. Le marché des systèmes de gestion de documents, d’une valeur de 41,65 milliards de dollars en 2019, est un secteur dominé par Xerox, IBM, Oracle et OpenText.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire