Des détails techniques et un exploit de preuve de concept (PoC) ont été mis à disposition pour une faille de sécurité critique récemment révélée dans Progress Software OpenEdge Authentication Gateway et AdminServer, qui pourrait être potentiellement exploitée pour contourner les protections d’authentification.
Suivi comme CVE-2024-1403, la vulnérabilité a un indice de gravité maximum de 10,0 sur le système de notation CVSS. Cela affecte les versions OpenEdge 11.7.18 et antérieures, 12.2.13 et antérieures, ainsi que 12.8.0.
« Lorsque OpenEdge Authentication Gateway (OEAG) est configuré avec un domaine OpenEdge qui utilise le fournisseur d’authentification local du système d’exploitation pour accorder des connexions par identifiant utilisateur et mot de passe sur les plates-formes d’exploitation prises en charge par les versions actives d’OpenEdge, une vulnérabilité dans les routines d’authentification peut conduire à des opérations non autorisées. accès lors des tentatives de connexion », la société dit dans un avis publié à la fin du mois dernier.
« De même, lorsqu’une connexion AdminServer est établie par OpenEdge Explorer (OEE) et OpenEdge Management (OEM), elle utilise également le fournisseur d’authentification local du système d’exploitation sur les plates-formes prises en charge pour accorder des connexions par identifiant utilisateur et mot de passe qui peuvent également conduire à un accès non autorisé. «
Progress Software a déclaré que la vulnérabilité renvoie incorrectement le succès de l’authentification à partir d’un domaine local OpenEdge si des types inattendus de noms d’utilisateur et de mots de passe ne sont pas traités de manière appropriée, conduisant à un accès non autorisé sans authentification appropriée.
La faille a été corrigée dans les versions OpenEdge LTS Update 11.7.19, 12.2.14 et 12.8.1.
Horizon3.ai, qui a procédé à l’ingénierie inverse du service vulnérable AdminServer, a depuis libéré un PoC pour CVE-2024-1403, indiquant que le problème est enraciné dans une fonction appelée connect() qui est invoquée lorsqu’une connexion à distance est établie.
Cette fonction, à son tour, appelle une autre fonction appelée authorizeUser() qui valide que les informations d’identification fournies répondent à certains critères et passe le contrôle à une autre partie du code qui authentifie directement l’utilisateur si le nom d’utilisateur fourni correspond à « AUTORITÉSYSTÈME NT« .
« Une surface d’attaque plus profonde semble permettre à un utilisateur de déployer de nouvelles applications via des références de fichiers WAR distants, mais la complexité a considérablement augmenté pour atteindre cette surface d’attaque en raison de l’utilisation de courtiers de messages de service internes et de messages personnalisés », a déclaré le chercheur en sécurité Zach. Hanley dit.
« Nous pensons qu’il existe probablement à nouveau une possibilité d’exécution de code à distance via des fonctionnalités intégrées, à condition que les efforts de recherche soient suffisants. »