Deux failles de sécurité critiques découvertes dans l’open source CasaOS Les logiciels de cloud personnel pourraient être exploités avec succès par des attaquants pour exécuter du code arbitraire et prendre le contrôle de systèmes sensibles.
Les vulnérabilités, suivies comme CVE-2023-37265 et CVE-2023-37266tous deux affichent un score CVSS de 9,8 sur un maximum de 10.
Thomas Chauchefoin, chercheur en sécurité des sonars, qui a découvert les bugs, dit ils « permettent aux attaquants de contourner les exigences d’authentification et d’obtenir un accès complet au tableau de bord CasaOS ».
Plus troublant encore, la prise en charge par CasaOS d’applications tierces pourrait être utilisée pour exécuter des commandes arbitraires sur le système afin d’obtenir un accès persistant à l’appareil ou de pivoter vers les réseaux internes.
Suite à une divulgation responsable le 3 juillet 2023, les failles ont été corrigées dans version 0.4.4 publié par ses responsables IceWhale le 14 juillet 2023.
Une brève description des deux défauts est la suivante –
- CVE-2023-37265 – Identification incorrecte de l’adresse IP source, permettant à des attaquants non authentifiés d’exécuter des commandes arbitraires en tant que root sur les instances CasaOS
- CVE-2023-37265 – Des attaquants non authentifiés peuvent créer des jetons Web JSON arbitraires (JWT) et accéder aux fonctionnalités qui nécessitent une authentification et exécuter des commandes arbitraires en tant que root sur les instances CasaOS
Une exploitation réussie des failles susmentionnées pourrait permettre aux attaquants de contourner les restrictions d’authentification et d’obtenir des privilèges administratifs sur les instances CasaOS vulnérables.
« En général, l’identification des adresses IP au niveau de la couche application est sujette à des risques et ne devrait pas être utilisée pour prendre des décisions en matière de sécurité », a déclaré Chauchefoin.
« De nombreux en-têtes différents peuvent transporter ces informations (X-Forwarded-For, Forwarded, etc.), et les API du langage doivent parfois interpréter les nuances du protocole HTTP de la même manière. De même, tous les frameworks ont leurs propres bizarreries et peuvent être délicats. naviguer sans une connaissance approfondie de ces armes de sécurité courantes.