Les chercheurs ont révélé des vulnérabilités critiques dans le portefeuille Extensis, y compris une faille zero-day qui n’a pas encore été corrigée.

Le 17 février, les chercheurs de White Oak Security Michael Rand et Talis Ozols divulgué publiquement vulnérabilités du logiciel de gestion des actifs numériques Extensis Portfolio.

Extensis Portfolio comprend une application principale de gestion de contenu accessible à l’utilisateur, un portail administrateur et une application d’hébergement de contenu.

Cinquième prise

Au cours d’un test d’intrusion indépendant, les chercheurs en cybersécurité ont découvert une instance du logiciel, déployée en ligne, avec des informations d’identification d’administrateur par défaut utilisées.

Après avoir examiné plus en détail la surveillance de la sécurité, le duo a découvert qu’il était en mesure de réaliser l’exécution de code à distance (RCE) grâce à un bogue de téléchargement de fichier sans restriction.

Ce prétendu jour zéro a été la première faille de sécurité grave découverte par White Oak Security.

Les testeurs de stylo ont ensuite examiné le code source de la version 3.6.3 d’Extensis Portfolio et ont trouvé un total de cinq vulnérabilités nécessitant une attention immédiate :

  • CVE-2022-24251 – RCE via le téléchargement de fichiers sans restriction
  • CVE-2022-24255 – Identifiants codés en dur dans les portails principal et administrateur (contournement d’authentification)
  • CVE-2022-24252 – Téléchargement de fichiers sans restriction et erreur de parcours de chemin conduisant à RCE dans le portail principal
  • CVE-2022-24254 – Archive authentifiée ‘zip-slip’, un bogue de traversée de répertoire, exploitable pour RCE
  • CVE-2022-24253 – Faille de téléchargement de fichiers authentifié, mais sans restriction dans le portail d’administration menant à RCE

Les numéros CVE ont été attribués et sont sur un statut « réservé » au moment de la rédaction. On ne sait pas si l’une de ces vulnérabilités est exploitée dans la nature.

Difficultés de divulgation

En ce qui concerne la divulgation des vulnérabilités, de nombreuses entreprises de cybersécurité offrent une fenêtre de 90 jours aux fournisseurs pour trier et corriger les vulnérabilités une fois qu’elles ont été signalées.

Les détails des failles seront ensuite rendus publics, même de manière expurgée – une pratique visant à encourager les organisations à résoudre les problèmes de sécurité détectés dans leurs logiciels en temps opportun.

Dans le cas de White Oak Security, cependant, la divulgation coordonnée s’est apparemment révélée difficile.

Les chercheurs ont passé le mois d’août 2021 à essayer de contacter le fournisseur via des formulaires en ligne, des canaux de vente et des médias sociaux, pour se voir promettre un contact de sécurité qui ne s’est jamais concrétisé.

La société a également été informée qu’elle ne pouvait pas contacter Extensis « sans un accord de service contractuel actif ».

Ce n’est que le 29 septembre que White Oak Security a déclaré qu’il était en mesure de contacter le fournisseur – et uniquement en tirant parti d’un contact client.

Selon le calendrier de divulgation des chercheurs, Extensis a confirmé la réception du rapport et a recommandé que l’équipe teste Portfolio Server v.4.0.0, car certains correctifs avaient été publiés après la v.3.6.3.

Cependant, les choses sont alors devenues obscures. White Oak Security a confirmé que la vulnérabilité RCE d’origine n’avait pas été corrigée dans la v4.0.0, et après avoir demandé des informations supplémentaires aux fournisseurs sur les correctifs, il y a eu un silence radio.

‘Aucun correctif disponible’

Le 22 octobre, les chercheurs en cybersécurité ont déclaré à Extensis que quatre autres vulnérabilités critiques devaient également être résolues, et bien que le fournisseur ait fourni des options d’atténuation pour le bogue de téléchargement de fichiers sans restriction, la société aurait refusé de donner un calendrier pour d’autres correctifs.

Au total, 164 jours se sont écoulés depuis la divulgation avant que les chercheurs ne décident de rendre leurs conclusions publiques. Selon White Oak Security, Extensis a déclaré que « ces problèmes de sécurité n’avaient pas été priorisés et Extensis n’avait pas de date prévue pour la résolution ».

Au 17 février, l’équipe de cybersécurité affirme qu’Extensis « n’a fourni à White Oak Security aucune indication que ces vulnérabilités seront corrigées ».

« Malheureusement, Extensis n’a pas été réceptif à la divulgation de ces vulnérabilités et n’a pas mis à disposition de correctif pour le moment », déclarent les chercheurs. « En tant que tel, White Oak Security est obligé de divulguer publiquement ces problèmes. »

La gorgée quotidienne a contacté Extensis avec des questions supplémentaires et nous mettrons à jour si et quand nous recevrons une réponse.

En réponse à nos questions cette semaine, un porte-parole de White Oak nous a dit : « Il n’y a plus eu de contact avec White Oak d’Extensis à ce stade, mais nous espérons que c’est parce qu’ils travaillent sur les problèmes. »