rConfig

rConfig: Deux failles d’exécution de code à distance découvertes

Si vous utilisez le gestionnaire de configuration réseau “rConfig” pour protéger et gérer vos appareils réseaux, soyez prudents.

Un chercheur en cybersécurité a récemment publié des détails et preuves de concept pour deux vulnérabilités d’exécution de code à distance dans l’utilité rConfig. Au moins une de ces failles permettrait à des pirates distants non-authentifiés de compromettre des serveurs ciblés et des appareils connectés au réseau.

Ecrit en PHP natif, rConfig est un utilitaire de gestion de configuration de périphérique réseau libre qui permet aux administrateurs de réseaux de configurer et de faire des captures d’écran de configuration des appareils du réseau.

Selon le site du projet, rConfig est utilisé pour gérer plus de 3,3 millions de systèmes, incluant des switchs, des routeurs, des pare-feux, des load-balancers et des optimiseurs WAN.

Découvertes par Mohammed Askar, chacune de ces failles résident dans un fichier différent de rConfig, la première, CVE-2019-16662, peut être exploité à distance sans avoir besoin de s’authentifier, alors que la seconde, CVE-2019-16663, nécessite une authentification avant l’exploitation.

  • Exécution de code à distance sans authentification (CVE-2019-16662) dans ajaxServerSettingsChk.php
  • Exécution de code à distance avec authentification (CVE-2019-16663) dans search.crud.php

Dans les deux cas, pour exploiter la faille, un pirate doit accéder aux fichiers vulnérables avec un paramètre GET mal formé et conçu pour exécuter des commandes malveillantes sur le serveur ciblé.

rConfig

Comme montré dans les captures d’écran partagées par le chercheur, les exploits donnent la possibilité d’obtenir un shell depuis le serveur de la victime, permettant d’exécuter des commandes arbitraires sur le serveur compromis avec les mêmes permissions que l’application web.

Pendant ce temps là, un autre chercheur en sécurité a analysé les faille et a découvert que la seconde vulnérabilité d’exécution de code à distance pourrait aussi être exploité sans authentification dans les versions de rConfig antérieures à la version 3.6.0.

“Après avoir revu le code source de rConfig, j’ai découvert que toutes les versions avaient ces vulnérabilités et pas seulement rConfig 3.9.2. De plus, CVE-2019-16663 peut être exploité sans authentification pour toutes les versions antérieures à 3.6.0,” a déclaré le chercheur qui se fait appelé Sudoka.

Cependant, il semblerait que toutes les installations de rConfig ne sont pas vulnérables à la première faille, CVE-2019-16662.

Suivre les recommandations de rConfig pourrait vous aider

Le chercheur en sécurité, Johannes Ulrich, a analysé ces vulnérabilités et a découvert que le fichier associé à la première vulnérabilité se trouve dans un dossier d’installation qui est sensé être supprimé après l’installation de rConfig.

Dans la liste des tâches à effectuer après l’installation, les développeurs recommandent aux usagers de “supprimer le dossier d’installation après que l’installation soit complété.”

Cela veut dire que les utilisateurs qui ont suivi cette recommandation ne sont pas vulnérables à la première faille d’exécution de code à distance.

Si vous utilisez rConfig, il est recommandé de supprimer l’application temporairement sur votre serveur ou d’utiliser des solutions alternatives jusqu’à ce qu’un patch de sécurité soit distribué.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de