Plusieurs failles de sécurité ont été révélées dans Apache OpenMeetings, une solution de conférence Web, qui pourraient être potentiellement exploitées par des acteurs malveillants pour prendre le contrôle des comptes administrateur et exécuter du code malveillant sur des serveurs sensibles.
« Les attaquants peuvent amener l’application dans un état inattendu, ce qui leur permet de prendre le contrôle de n’importe quel compte utilisateur, y compris le compte administrateur », a déclaré Stefan Schiller, chercheur en vulnérabilité Sonar. a dit dans un rapport partagé avec The Hacker News.
« Les privilèges d’administrateur acquis peuvent en outre être exploités pour exploiter une autre vulnérabilité permettant aux attaquants d’exécuter du code arbitraire sur le serveur Apache OpenMeetings. »
Suite à la divulgation responsable du 20 mars 2023, les vulnérabilités ont été corrigées avec la publication de Réunions ouvertes version 7.1.0 qui a été publié le 9 mai 2023. La liste des trois défauts est la suivante –
- CVE-2023-28936 (Score CVSS : 5,3) – Vérification insuffisante du hash d’invitation
- CVE-2023-29032 (Score CVSS : 8,1) – Un contournement d’authentification qui conduit à un accès illimité via le hachage d’invitation
- CVE-2023-29246 (score CVSS : 7,2) – Une injection d’octet NULL (%00) qui permet à un attaquant avec des privilèges d’administrateur d’obtenir l’exécution de code
Les invitations aux réunions créées à l’aide d’OpenMeetings ne sont pas seulement liées à une salle et à un utilisateur spécifiques, mais sont également accompagnées d’un hachage unique utilisé par l’application pour récupérer les détails associés à l’invitation.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Les deux premiers défauts, en un mot, ont à voir avec une faible comparaison de hachage entre le hachage fourni par l’utilisateur et ce qui est présent dans la base de données et une bizarrerie qui permet la création d’une invitation à une salle sans qu’une salle lui soit attribuée, conduisant à un scénario où une invitation existe sans salle qui lui est attachée.
Un acteur malveillant pourrait exploiter ces lacunes pour créer un événement et rejoindre la salle correspondante, puis le suivre en supprimant l’événement, auquel cas une invitation est créée pour l’utilisateur administrateur dans la salle inexistante. À l’étape suivante, le bogue de comparaison de hachage faible pourrait être exploité pour énumérer l’invitation envoyée et l’utiliser en fournissant une entrée de hachage générique.
« Bien que la salle soit également supprimée lorsque son événement associé est supprimé, la présence de l’attaquant dans la salle en fait une salle zombie », a expliqué Schiller. « Bien qu’une erreur soit générée lors de l’utilisation du hachage pour une telle invitation, une session Web valide pour l’invité avec toutes les autorisations de cet utilisateur est créée. »
En d’autres termes, la salle zombie pourrait permettre à l’attaquant d’acquérir des privilèges d’administrateur et d’apporter des modifications à l’instance OpenMeetings, notamment en ajoutant et en supprimant des utilisateurs et des groupes, en modifiant les paramètres de la salle et en mettant fin aux sessions des utilisateurs connectés.
Sonar a déclaré avoir également identifié une troisième vulnérabilité enracinée dans une fonctionnalité qui permet à un administrateur de configurer le chemin des exécutables liés à ImageMagick, un logiciel open source utilisé pour éditer et traiter des images. Cela permet à un attaquant avec des privilèges d’administrateur d’obtenir l’exécution de code en changeant le chemin ImageMagic en « /bin/sh%00x » et en déclenchant des commandes shell arbitraires.
« Lorsque vous téléchargez maintenant une fausse image contenant un en-tête d’image valide suivi de commandes shell arbitraires, la conversion génère /bin/sh avec le premier argument étant la fausse image, exécutant efficacement toutes les commandes qu’elle contient », a déclaré Schiller.
« En combinaison avec la prise de contrôle de compte, cette vulnérabilité permet à un attaquant auto-enregistré d’obtenir l’exécution de code à distance sur le serveur sous-jacent. »