Silver Peak: Unity Orchestrator est concerné par des failles

Unity Orchestrator de Silver Peak, une plate-forme de gestion de WAN (SD-WAN), souffre de trois failles de sécurité d’exécution de code à distance qui peuvent être associés pour permettre la prise de contrôle du réseau par des attaquants non authentifiés.

SD-WAN est une approche de mise en réseau cloud utilisée par les entreprises multi-sites de toutes tailles. Il permet aux emplacements et aux instances cloud d’être connectés les uns aux autres et aux ressources de l’entreprise sur tout type de connectivité. Et, il applique le contrôle logiciel à la gestion de ce processus, y compris l’orchestration des ressources et des nœuds. Cette orchestration est généralement centralisée via une plate-forme à vue unique – dans ce cas, l’Unity Orchestrator, qui, selon Silver Peak, a environ 2000 déploiements.

Selon les chercheurs de Realmode Labs, les trois failles sont un contournement d’authentification, une traversée de chemin et une exécution arbitraire de requête SQL, qui peuvent être combinées afin d’exécuter du code arbitraire.

Les attaquants contourneraient d’abord l’authentification pour se connecter à la plate-forme, puis rechercheraient un fichier géré par le serveur Web, a noté la société. Ensuite, ils peuvent le supprimer à l’aide de la faille de traversée de chemin, en le remplaçant par l’un de leur choix à l’aide de l’exécution de requête SQL. Ensuite, il suffit d’exécuter le fichier pour exécuter le code ou le logiciel malveillant de leur choix.

«Dans le meilleur des cas, un attaquant peut utiliser ces vulnérabilités pour intercepter ou diriger le trafic», a déclaré Ariel Tempelhof, co-fondateur et PDG de Realmode, dans un article Medium. « Cependant, si un attaquant le souhaite, il peut à la place fermer l’ensemble du réseau international d’une entreprise. »

Détails de la faille de Silver Peak

Les problèmes sont présents dans les versions de Silver Peak Unity Orchestrator antérieures à 8.9.11+, 8.10.11+ ou 9.0.1+. Les instances d’Orchestrator hébergées par les clients – sur site ou chez un fournisseur de cloud public – sont affectées, a déclaré Silver Peak. Des correctifs sont disponibles.

En ce qui concerne les spécificités techniques, le contournement d’authentification (CVE-2020-12145) est causé par la manière dont Unity gère les appels d’API.

«[Les plates-formes concernées utilisent] les en-têtes HTTP pour authentifier les appels d’API REST à partir de l’hôte local», selon l’avis de sécurité de Silver Peak. «Cela permet de se connecter à Orchestrator en introduisant une en-tête HTTP HOST défini sur 127.0.0.1 ou localhost.

Cela signifie essentiellement qu’aucune authentification significative n’est effectuée lorsque les appels proviennent de localhost, selon Tempelhof.

«La vérification de l’hôte local est en cours [comme ceci]: request.getBaseUri().GetHost().Equals (« localhost »)», a-t-il expliqué. « Toute demande avec ‘localhost’ comme en-tête d’hôte HTTP satisfera à cette vérification. Cela peut être facilement forgé dans les demandes à distance, bien sûr. »

Silver Peak

La faille de traversée de chemin (CVE-2020–12146) existe quant à elle car lorsqu’un fichier hébergé localement est supprimé, aucune vérification de traversée de chemin n’est effectuée.

«Un utilisateur authentifié peut accéder, modifier et supprimer des fichiers restreints sur le serveur Orchestrator à l’aide de l’API REST /debugFiles», selon Silver Peak.

Tempelhof a précisé: «Certains des points de terminaison de l’API, qui sont désormais accessibles grâce au contournement d’authentification, permettent de télécharger des logs de débogage dans un compartiment S3 pour être examinés par Silver Peak. Ce mécanisme prépare les logs, les télécharge, puis supprime le fichier hébergé localement. Le point de terminaison /gms/rest/debugFiles/delete effectuant la suppression ne vérifie pas la traversée de chemin, ce qui permet de supprimer n’importe quel fichier sur le système (si les autorisations le permettent). »

Silver Peak

Et le dernier problème, la faille d’exécution des requêtes SQL (CVE-2020-12147), permet à un utilisateur authentifié d’effectuer des requêtes MySQL non autorisées sur la base de données Orchestrator, en utilisant l’API REST /sqlExecution, selon Silver Peak. Ces requêtes SQL arbitraires sont possibles grâce à un point de terminaison API spécial qui avait été utilisé pour les tests internes.

« Le point de terminaison /gms/rest/sqlExecution peut être exploité pour une écriture de fichier arbitraire en utilisant une clause INTO DUMPFILE », a expliqué Tempelhof, ajoutant que si INTO DUMPFILE ne permet pas d’écraser directement un fichier, les attaquants peuvent utiliser la faille de traversée de chemin pour supprimez d’abord le fichier, puis le ré-écrire.

Realmode a signalé les vulnérabilités le 9 août et Silver Peak a déployé des correctifs le 30 octobre. Aucun score de gravité CVSS n’a encore été attribué.

Tempelhof a déclaré que son équipe avait trouvé des failles similaires dans trois autres sociétés SD-WAN (toutes maintenant corrigées), qui seront bientôt révélées.

«Nous avons recherché les quatre meilleurs produits SD-WAN du marché et découvert les principales vulnérabilités d’exécution de code à distance», écrit-il. «Les vulnérabilités ne nécessitent aucune authentification pour être exploitées.»

Les principaux fournisseurs de SD-WAN ont eu des problèmes dans le passé. Par exemple, en Mars, Cisco Systems a corrigé trois vulnérabilités de haute gravité qui pourraient permettre à des attaquants locaux authentifiés d’exécuter des commandes avec des privilèges root. Une faille similaire a été détecté un mois plus tard dans l’IOS XE de Cisco, une version Linux du système d’exploitation Internet (IOS) de Cisco utilisé dans les déploiements SD-WAN.

Et en Décembre dernier, une faille critique zero-day a été découverte dans diverses versions de ses produits Citrix Application Delivery Controller (ADC) et Citrix Gateway qui permettaient la prise de contrôle et l’exécution de code à distance, utilisés dans les implémentations SD-WAN. Les attaques dans la nature et les exploits publics se sont rapidement accumulés après son annonce.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x