La société de logiciels d’entreprise Solarwinds a corrigé un bogue critique dans son logiciel Web Help Desk qui permettait aux attaquants d’exécuter du code arbitraire Hibernate Query Language (HQL).
Solarwinds Web Help Desk est une solution de billetterie d’assistance et de gestion des actifs qui permet aux clients de gérer les tickets de dépannage des utilisateurs finaux et de suivre le cycle de vie des demandes de service via une interface Web centralisée.
Cependant, la société de sécurité Assetnote a découvert qu’il contenait des informations d’identification codées en dur, qui étaient automatiquement acceptées à plusieurs endroits dans le code source et qui permettaient d’accéder à des contrôleurs sensibles.
Injection HQL
Comme expliqué dans un article de blog techniqueun attaquant pourrait exécuter des requêtes HQL sur les modèles de base de données définis dans le code source et lire les hachages de mot de passe des utilisateurs enregistrés, y compris les hachages de mot de passe administrateur.
Et en plus de lire des informations sensibles de la base de données, les attaquants pourraient effectuer d’autres opérations SQL, telles que INSERT/UPDATE/DELETE, tant qu’un modèle Hibernate existe pour les tables de la base de données, dans la base de code.
« Grâce aux informations d’identification codées en dur, il est possible d’accéder à un point de terminaison qui vous permet d’évaluer un HQL arbitraire », explique Shubham Shah, co-fondateur et CTO d’Assetnote. La gorgée quotidienne.
« Cela vous permet finalement d’effectuer des opérations de lecture et d’écriture sur la base de données. Grâce à cette évaluation HQL, nous avons pu extraire les hachages du mot de passe administrateur. »
Instances vulnérables
Shah dit que l’équipe a trouvé de nombreux cas vulnérables à l’exploitation dans la nature.
« Nous avons parcouru les installations actives de Solarwinds Web Help Desk sur Internet et avons constaté que notre exploit était toujours valide même s’il y avait certaines restrictions qui devaient être passées avant d’exploiter le problème », dit-il.
Shah a ajouté: « L’utilisation d’informations d’identification codées en dur est une mauvaise décision de conception de la sécurité, car n’importe qui peut obtenir ces informations d’identification par ingénierie inverse. »
« Un certain nombre de systèmes d’authentification dans l’application reposent sur ces informations d’identification codées en dur, qui ne doivent pas être considérées comme secrètes. »
Chronologie des correctifs
Assetnote a signalé le problème à Solarwinds le 31 octobre de l’année dernière, avec la publication du Web Help Desk 12.7.7 Hotfix 1 le 23 décembre.
« Nous n’avons aucune preuve que des clients aient été touchés par cette vulnérabilité logicielle, qui aurait obligé un acteur malveillant à avoir un accès local, sur site et direct au serveur WHD », a déclaré un porte-parole de Solarwinds. La gorgée quotidienne.
Assetnote avertit que de nombreuses organisations se concentrent trop sur les problèmes de logiciels et de réseau internes et ne mesurent pas les risques des logiciels d’entreprise tiers qui, selon elle, contiennent souvent des vulnérabilités.
N’OUBLIEZ PAS DE LIRE La vague de piratage du compte Fantasy Premier League incite à introduire des vérifications de connexion supplémentaires pour les fans de football