Résumé
Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc
Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont
deux critiques. Elles permettent à un attaquant de provoquer une
exécution de code arbitraire à distance et un contournement de la
politique de sécurité.
La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte
bibliothèque tierce - htmLawed - qui est embarquée par GLPI. Elle est
due à la présence d’un fichier de test htmLawedTest.php et permet à un
attaquant non authentifié d’exécuter du code arbitraire à distance.
La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un
attaquant de réaliser une injection SQL afin d'obtenir une connexion
avec n’importe quel utilisateur ayant au préalable défini une clé API.
Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de
signaler l'existence de ces vulnérabilités.
Le CERT-FR a connaissance de nombreux
incidents liés à l'exploitation de la vulnérabilité immatriculée
CVE-2022-35914.
DÉTECTION
Il est recommandé d'effectuer une vérification des journaux à la
recherche de tentatives d'accès aux ressources suivantes :
- /vendor/htmlawed/htmlawed/htmLawedTest.php
- /vendor/htmlawed/htmlawed/404.php
- /vendor/
Par ailleurs, des requêtes vers les ressources suivantes peuvent être en
lien avec l’attaque et doivent donc faire l'objet d'une attention
particulière :
- /redistest.php
- /css/Arui.php
- /css/legacy/Arui.php
- /css/legacy/Arui1.php
Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une
vérification supplémentaire à la recherche de fichiers malveillants
éventuellement déposés par un attaquant pour lui permettre de maintenir
un accès au système compromis.
Le CERT-FR tient à rappeler plusieurs points importants :
- Les produits tels que GLPI ne devraient pas être exposés sur
Internet.
- En cas d'obligation d'accès depuis l'extérieur, des mesures de
sécurité doivent être mises en œuvre [1].
- Dans tous les cas, le dossier /vendor/ qui contient les
bibliothèques tierces ne devrait pas être publiquement accessible
depuis Internet. Un tel dossier doit être déplacé en dehors de la
racine du serveur Web de façon à prévenir tout accès par adressage
direct aux fichiers présents dans ce dossier. Il n'existe aucune
raison légitime qui justifierait qu'un visiteur puisse avoir accès à
ce type de dossier.
- Enfin, des restrictions d'accès direct sur le dossier /vendor/
doivent-être mises en place par le biais des configurations sur le
serveur Web.
En cas de suspicion de compromission, il est recommandé de consulter les
bons réflexes en cas d'intrusion sur votre système
d'information
[2].
Contournement provisoire
S'il n'est pas possible de déployer le correctif rapidement, il est
fortement recommandé :
- de désactiver l’option Enable login with external token dans le
menu de configuration de l’API ;
- de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).