Une paire de vulnérabilités dans le panneau de contrôle Web du système de surveillance informatique Icinga a créé une route permettant même à des attaquants non authentifiés d’exécuter du code PHP arbitraire et de détourner des systèmes.

Les récentes vulnérabilités liées au Web résolues – qui ont toutes deux été découvertes par des chercheurs en sécurité de SonarSource – impliquaient deux vulnérabilités de traversée de chemin et une faille qui permet d’exécuter du code PHP arbitraire à partir de l’interface administrateur.

Chemin vers l’exploitation

CVE-2022-24716 est un bogue de traversée de chemin dans Icinga Web 2 et CVE-2022-24715 est un bogue de traversée de chemin distinct qui exploite également le comportement de PHP validant une clé SSH à l’aide d’un Octet NULL. La vulnérabilité PHP se trouve dans l’extension principale d’OpenSSL.

Ces diverses vulnérabilités peuvent facilement être enchaînées pour compromettre un serveur, avertit SonarSource.

Des correctifs ont été publiés et les mises à jour des versions 2.8.6, 2.9.6 et 2.10 d’Icinga Web sont recommandées. Il est conseillé aux utilisateurs de mettre à jour leur installation ainsi que de faire pivoter les informations d’identification par mesure de précaution supplémentaire.

Icinga propose un système de surveillance informatique open source fourni avec divers plug-ins et pouvant être utilisé pour surveiller le trafic réseau, l’espace disque ou les services exécutés sur des hôtes surveillés.

Les vulnérabilités proviennent de défauts de codage dans le panneau de configuration Web de la technologie, connue sous le nom d’Icinga Web 2.

Cueillettes riches

La vulnérabilité de traversée de chemin signifiait que les attaquants pouvaient potentiellement accéder au contenu des fichiers système locaux accessibles à l’utilisateur du serveur Web, y compris glaçageaweb2 fichiers de configuration avec les informations d’identification de la base de données.

La vulnérabilité CVE-2022-24715 peut entraîner l’exécution de code PHP arbitraire depuis l’interface d’administration

Comme expliqué dans un article de blog technique par SonarSource cette semaine, les deux défauts peuvent « facilement [be] enchaîné [together] pour compromettre le serveur à partir d’une position non authentifiée si l’attaquant peut accéder à la base de données en divulguant d’abord les fichiers de configuration et en modifiant le mot de passe de l’administrateur ».

La gorgée quotidienne a demandé à SonarSource si les vulnérabilités avaient pu ou non être exploitées à l’état sauvage, ainsi que les leçons que ses découvertes offraient à d’autres développeurs de logiciels.

Pas encore de réponse, mais nous mettrons à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles.