Une faille de sécurité dans un logiciel de gestion des appareils mobiles pourrait permettre aux attaquants d’accéder aux réseaux internes et cloud des organisations, préviennent les chercheurs.

Découvert par Assetnote, le bogue SSRF (server-side request forgery) a été trouvé dans VMWare Workspace One UEM.

Suivi comme CVE-2021-22054la vulnérabilité pourrait risquer que des informations d’identification et d’autres données sensibles tombent entre les mains d’attaquants malveillants.

« Nous avons découvert une vulnérabilité de pré-authentification qui nous permettait de faire des requêtes HTTP arbitraires, y compris des requêtes avec n’importe quelle méthode HTTP et corps de requête », ont écrit les chercheurs dans un article de blog.

« Afin d’exploiter ce SSRF, nous avons dû désosser l’algorithme de chiffrement utilisé par VMWare Workspace One UEM. »

L’équipe a pu pénétrer « un certain nombre » d’organisations utilisant le logiciel, accédant à la fois à leur réseau interne et à leurs services cloud.

A NE PAS MANQUER VirusTotal réfute les allégations d’une grave vulnérabilité dans le service antivirus appartenant à Google

Parler à La gorgée quotidienneSubham Shah d’Assetnote a déclaré: « Bien que je ne puisse pas partager les détails exacts sur les entreprises qui ont été affectées, il y avait un grand nombre d’entreprises qui étaient vulnérables à cela.

« Dans certains cas, il était possible d’utiliser cette vulnérabilité pour violer les comptes AWS des entreprises. »

Shah a ajouté : « L’impact de cette vulnérabilité est plutôt sur l’organisation qui exécute le logiciel, plutôt que sur les utilisateurs individuels qui utilisent les produits.

« En utilisant la vulnérabilité SSRF, il est possible d’atteindre des hôtes arbitraires sur le réseau interne. Sur les réseaux cloud tels qu’AWS, il est possible d’atteindre l’adresse IP des métadonnées et potentiellement de voler les informations d’identification de sécurité.

« En utilisant ces informations d’identification de sécurité, il est possible d’aggraver la vulnérabilité pour accéder à d’autres infrastructures appartenant à une entreprise. »

Remédiations

Le problème, qui a été découvert pour la première fois en novembre 2021, a depuis été corrigé par le fournisseur.

Shah a déclaré que bien que VMware ait traité les problèmes « en temps opportun », les chercheurs ont accepté la demande du fournisseur de plus de temps pour publier plus de correctifs et permettre aux clients de corriger leurs instances avant la divulgation.

Un avis de VMWare contient des détails sur les correctifs du logiciel.

Shah a conseillé aux utilisateurs du logiciel de dispositif de gestion mobile « si possible, n’exposez pas la solution MDM à l’Internet externe ».