{"id":307937,"date":"2022-08-11T14:03:23","date_gmt":"2022-08-11T16:03:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/defauts-critiques-reveles-dans-le-logiciel-de-gestion-des-actifs-informatiques-device42\/"},"modified":"2022-08-11T14:03:24","modified_gmt":"2022-08-11T16:03:24","slug":"defauts-critiques-reveles-dans-le-logiciel-de-gestion-des-actifs-informatiques-device42","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/defauts-critiques-reveles-dans-le-logiciel-de-gestion-des-actifs-informatiques-device42\/","title":{"rendered":"D\u00e9fauts critiques r\u00e9v\u00e9l\u00e9s dans le logiciel de gestion des actifs informatiques Device42"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 plusieurs vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 graves plateforme de gestion des actifs <a rel=\"nofollow noopener\" href=\"https:\/\/www.device42.com\/features\/it-asset-management\/\" target=\"_blank\">Appareil42<\/a> qui, si elles sont exploit\u00e9es avec succ\u00e8s, pourraient permettre \u00e0 un acteur malveillant de prendre le contr\u00f4le des syst\u00e8mes affect\u00e9s.<\/p>\n<p>&#8220;En exploitant ces probl\u00e8mes, un attaquant pourrait se faire passer pour d&#8217;autres utilisateurs, obtenir un acc\u00e8s de niveau administrateur dans l&#8217;application (en divulguant une session avec un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/File_inclusion_vulnerability#Local_file_inclusion\" target=\"_blank\">LFI<\/a>) ou obtenir un acc\u00e8s complet aux fichiers et \u00e0 la base de donn\u00e9es de l&#8217;appliance (via l&#8217;ex\u00e9cution de code \u00e0 distance)&#8221;, Bitdefender <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/a-red-team-perspective-on-the-device42-asset-management-appliance\/\" target=\"_blank\">a dit<\/a> dans un rapport de mercredi.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Plus inqui\u00e9tant encore, un adversaire avec n&#8217;importe quel niveau d&#8217;acc\u00e8s au sein du r\u00e9seau h\u00f4te pourrait connecter en cha\u00eene trois des failles pour contourner les protections d&#8217;authentification et r\u00e9aliser l&#8217;ex\u00e9cution de code \u00e0 distance avec les privil\u00e8ges les plus \u00e9lev\u00e9s.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel de gestion des actifs informatiques Device42\" border=\"0\" data-original-height=\"460\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjly70cBGo-o3uuoYLtIWK5I49bdD_i-hoHolXWX3Vn633dR2npy9pZaDY7_zJ5Dyq8eojrLwtJMXRNWVT2JWS7NekdxdnQ-aMDFhanh-xvHn_YdRNFuZxYLuSu_tMqTLRPY16NjF86DLTnH3_TMFkxro3dWqSsGfssr6O7ahHGGMuhrZPgpHUqTYh1\/s728-e1000\/device42.jpg\" title=\"Logiciel de gestion des actifs informatiques Device42\" \/><\/div>\n<p>Les probl\u00e8mes en question sont \u00e9num\u00e9r\u00e9s ci-dessous &#8211;<\/p>\n<ul>\n<li><strong>CVE-2022-1399<\/strong> &#8211; Ex\u00e9cution de code \u00e0 distance dans le composant de t\u00e2ches planifi\u00e9es<\/li>\n<li><strong>CVE-2022-1400<\/strong> &#8211; Cl\u00e9 de cryptage cod\u00e9e en dur IV dans Exago WebReportsApi.dll<\/li>\n<li><strong>CVE 2022-1401<\/strong> &#8211; Validation insuffisante des chemins fournis dans Exago<\/li>\n<li><strong>CVE-2022-1410<\/strong> &#8211; Ex\u00e9cution de code \u00e0 distance dans la console ApplianceManager<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel de gestion des actifs informatiques Device42\" border=\"0\" data-original-height=\"358\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660233803_561_Defauts-critiques-reveles-dans-le-logiciel-de-gestion-des-actifs.jpg\" title=\"Logiciel de gestion des actifs informatiques Device42\" \/><\/div>\n<p>La plus critique des faiblesses est CVE-2022-1399, qui permet d&#8217;ex\u00e9cuter des instructions bash via l&#8217;injection de commandes et avec des autorisations root, accordant \u00e0 l&#8217;attaquant un contr\u00f4le total sur l&#8217;appliance sous-jacente.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Bien que l&#8217;ex\u00e9cution de code \u00e0 distance ne puisse pas \u00eatre r\u00e9alis\u00e9e par elle-m\u00eame, elle peut \u00eatre associ\u00e9e \u00e0 CVE 2022-1401 et CVE-2022-1400 pour extraire les identifiants de session valides des utilisateurs d\u00e9j\u00e0 authentifi\u00e9s en tirant parti d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/File_inclusion_vulnerability#Local_file_inclusion\" target=\"_blank\">inclusion de fichiers locaux<\/a> vuln\u00e9rabilit\u00e9 d\u00e9couverte dans le composant de reporting Exago.<\/p>\n<p>Suite \u00e0 la divulgation responsable de la soci\u00e9t\u00e9 roumaine de cybers\u00e9curit\u00e9 le 18 f\u00e9vrier, les failles ont \u00e9t\u00e9 corrig\u00e9es par Device42 dans <a rel=\"nofollow noopener\" href=\"https:\/\/support.device42.com\/hc\/en-us\/articles\/7294187475223-Release-Summary-18-01-00\" target=\"_blank\">version 18.01.00<\/a> sortie le 7 juillet 2022.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/critical-flaws-disclosed-in-device42-it.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 plusieurs vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 graves plateforme de gestion des actifs Appareil42 qui, si elles sont exploit\u00e9es avec succ\u00e8s, pourraient permettre \u00e0 un acteur malveillant de prendre le contr\u00f4le des syst\u00e8mes affect\u00e9s. &#8220;En exploitant ces probl\u00e8mes, un attaquant pourrait se faire passer pour d&#8217;autres utilisateurs, obtenir un acc\u00e8s de niveau [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":307938,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[10224,4168,5729,4158,4165,4161,429,37939,133,98962,8945,8154,4157,4159,4171,4170,6816,4167,98340,4163,4162,43315,4172,4169,4166,4164],"class_list":["post-307937","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actifs","tag-comment-pirater","tag-critiques","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-defauts","tag-des","tag-device42","tag-gestion","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-reveles","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/307937","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=307937"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/307937\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/307938"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=307937"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=307937"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=307937"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}