Deux failles dans l’interface Web d’un système de stockage en nuage Fujitsu pourraient permettre à un attaquant non authentifié de lire, d’écrire et de détruire des fichiers sauvegardés.
Les vulnérabilités de sécurité étaient présentes dans le Fujitsu Eternus CS8000 (Control Center) V8.1 de niveau entreprise.
Les chercheurs du groupe NCC ont découvert deux problèmes distincts en raison d’un manque de validation des entrées utilisateur dans deux scripts PHP, qui sont normalement inclus après l’authentification.
Les deux défauts, une injection de commande dans grel.php et une injection de commande dans hw_view.phppourrait permettre à un attaquant d’obtenir l’exécution de code à distance sur l’appliance sans authentification ou autorisation préalable.
Comme aucune protection d’inclusion n’est en place, l’attaquant peut déclencher le script sans authentification préalable en l’appelant directement.
Cela leur permettrait de prendre le contrôle de l’appliance comme s’ils étaient connectés directement via un shell sécurisé.
« S’il est exploité, l’attaquant obtient des privilèges d’utilisateur limités sur la machine en tant qu’utilisateur « www-data » ; cependant, il convient de noter que le noyau du système rencontré par Fox-IT du groupe NCC est gravement obsolète, ce qui permet à un attaquant d’élever facilement ses privilèges à l’utilisateur administrateur « racine » du système », un article de blog de NCC Group lit.
« En raison de la nature sensible du système, tout attaquant ayant un contrôle total sur le système est potentiellement capable de lire, modifier et potentiellement détruire l’intégralité des bandes de sauvegarde virtuelles, qui pourraient être utilisées comme étape initiale d’une attaque de ransomware pour s’assurer que la victime n’est pas en mesure de récupérer et est obligé de payer la rançon.
Corrigez maintenant
Les problèmes ont été découverts lors d’un test d’intrusion effectué par NCC Group pour le compte d’un client. Ils ont ensuite été signalés à Fujitsu, qui a depuis corrigé les bugs (PDF).
Fujitsu a déclaré n’avoir « aucune connaissance » d’un code d’exploitation fonctionnel et n’avoir vu aucune tentative réussie d’exploiter les vulnérabilités dans la nature.
NCC Group a conseillé aux utilisateurs de passer immédiatement à la dernière version du logiciel. Il a également répertorié d’autres recommandations pour atténuer les bogues dans le billet de blog.
Un porte-parole de Fujitsu a déclaré : « Les deux vulnérabilités des appareils Fujitsu ETERNUS CS8000 ont été atténuées/corrigées avec succès le 1er juin 2022. Une mise à jour est disponible et le Informations sur le service Fujitsu PSirt concernant l’avis de sécurité (PDF) a été publié.
« Les clients Fujitsu utilisant Fujitsu ETERNUS CS8000 ont été informés en temps opportun via plusieurs canaux de communication. En plus du document mentionné ci-dessus, un bulletin d’assistance spécial Fujitsu Service Facts SB-CS-2205 a également été publié pour nos clients sur le site extranet officiel de Fujitsu.