Dans le digest de cette semaine, nous aborderons les points suivants :
- Vulnérabilité de Hashicorp Vault en matière de scripts intersites
- Grafana Contrôle d'accès et vulnérabilités des conditions de course
- Vulnérabilité du contournement de l'authentification de PMM
CVE-2023-2121 : Vulnérabilité des scripts intersites dans le coffre-fort de Hashicorp
Contexte
Hashicorp Vault est un outil open source conçu pour stocker et gérer en toute sécurité des données sensibles dans des environnements informatiques modernes. Il agit comme une solution centralisée de gestion des secrets, fournissant un moyen sûr de stocker et d'accéder aux mots de passe, aux clés, aux certificats et à d'autres types de secrets, API clés, certificats et autres types de secrets. Vault utilise une combinaison de chiffrement, de politiques de contrôle d'accès et de capacités d'audit pour protéger les informations sensibles. Vault Enterprise est la version commerciale de HashiCorp Vault. Elle offre des fonctionnalités supplémentaires et un support adapté aux déploiements à l'échelle de l'entreprise.
Vulnérabilité
La vulnérabilité, répertoriée sous le nom de CVE-2023-2121, est une vulnérabilité d'injection qui permet l'injection HTML dans l'interface Web de Vault par le biais de valeurs clés. Les produits concernés sont Vault et Vault Enterprise depuis la version 1.10.0.
Vault 1.10.0 a introduit la possibilité d'examiner facilement la différence entre deux révisions de secrets clé-valeur kv-v2 (KV Secrets Engine) dans l'interface web de Vault.
Un utilisateur disposant de privilèges d'écriture sur un montage du moteur de secrets kv-v2 pourrait fournir une chaîne qui serait incorrectement analysée et rendue comme HTML brut par l'interface web de Vault, ce qui conduirait à une injection HTML.
Par défaut, la politique de sécurité du contenu de Vault empêche l'exécution de JavaScript en ligne, évitant ainsi l'exposition aux scripts intersites via ce vecteur. Vault utilise trois mécanismes principaux pour empêcher l'exécution de scripts intersites : le typage fort et la validation des entrées au niveau du back-end, le codage de sortie fourni par le framework au niveau du front-end et une politique de sécurité du contenu restrictive et personnalisable qui inclut le script-src "self" par défaut.
Il convient de noter que l'impact de cette vulnérabilité est faible car un attaquant a besoin de privilèges d'écriture sur un moteur de secrets kv-v2 afin d'injecter des charges utiles.
Atténuation
- Il est fortement recommandé d'effectuer une mise à jour vers la version corrigée de Vault, à savoir 1.14.0, 1.13.3, 1.12.7 et 1.11.11.
Grafana Contrôle d'accès et vulnérabilités des conditions de course
Contexte
Grafana est une application web open-source d'analyse et de visualisation interactive. Elle fournit des diagrammes, des graphiques et des alertes pour le web lorsqu'elle est connectée à des sources de données prises en charge. Grafana est un outil populaire pour la surveillance et la visualisation de mesures provenant de diverses sources, notamment Prometheus, InfluxDB, Graphite et Elasticsearch. Il peut également être utilisé pour créer des tableaux de bord qui affichent des données provenant de plusieurs sources en une seule vue.
Vulnérabilités
Grafana Les versions 9.5 > 9.5.3, 9.4 > 9.4.12, 9.3 > 9.3.15, 9.0 > 9.2.19 et 8.0 > 8.5.26 présentent plusieurs vulnérabilités que nous allons aborder.
CVE-2023-2183 : Contrôle d'accès défectueux
Grafana offre la possibilité d'envoyer des alertes par l'intermédiaire du panneau d'utilisateur de l'interface Web. API ou le panneau d'utilisateur de l'interface Web.
Cette vulnérabilité, répertoriée sous le nom de CVE-2023-2183, permet à un attaquant ayant le rôle de visualiseur d'envoyer des alertes à l'aide de la fonction Alert-Test. API Ce problème survient parce que la fonction "Alert-Test" ne vérifie pas l'accès de l'utilisateur au serveur. API Ce problème survient parce que l'application ne vérifie pas l'accès de l'utilisateur à la fonction API Cette vulnérabilité est due au fait que le système ne vérifie pas l'accès de l'utilisateur à la fonction alerte. Cette vulnérabilité peut être vue comme étant utilisée de manière abusive dans ce POC.
Il convient de noter que cette option n'est pas disponible dans l'interface utilisateur du panneau d'affichage pour le rôle de visualiseur, mais uniquement via l'option API.
Cette vulnérabilité permet à des utilisateurs malveillants d'abuser de la fonctionnalité en envoyant de multiples messages d'alerte par courrier électronique, Slack et d'autres plateformes, en envoyant des spams aux utilisateurs, en préparant des attaques de phishing ou en bloquant le serveur SMTP/IP, ou en déplaçant automatiquement tous les messages vers un dossier spam ou en les ajoutant à une liste noire d'adresses IP.
Atténuation
- La mise à jour vers les versions corrigées de Grafana , à savoir 9.5.3, 9.4.12, 9.3.15, 9.2.19 et 8.5.26, est fortement recommandée.
- Pour éviter le spamming par courrier électronique, envisagez de modifier les paramètres de configuration du serveur SMTP en limitant la possibilité d'envoyer plusieurs courriels à la même adresse électronique par unité de temps/seuil.
CVE-2023-2801 : Condition de course du proxy DS
Grafana offre la possibilité de créer des requêtes mixtes en utilisant des données provenant de plusieurs sources. Par exemple, vous pouvez créer une requête mixte qui utilise des données provenant à la fois de Prometheus et d'InfluxDB. Les tableaux de bord publics sont une autre fonctionnalité de Grafana qui permet aux utilisateurs de partager des tableaux de bord avec des personnes extérieures à l'organisation.
La vulnérabilité, répertoriée sous le nom de CVE-2023-2801, réside dans la manière dont Grafana traite les requêtes mixtes. Lorsque Grafana reçoit une requête mixte, il tente d'exécuter la requête sur chaque source de données à tour de rôle. Cependant, si la requête est malformée, cela peut provoquer un plantage de Grafana . Plus précisément, si vous envoyez un appel API au point de terminaison /ds/query ou à un point de terminaison de requête de tableau de bord public qui contient des requêtes mixtes, vous pouvez faire planter votre instance Grafana . La seule fonctionnalité qui utilise des requêtes mixtes au sein de Grafana à l'heure actuelle est Public Dashboards, mais il est également possible de provoquer ce problème en appelant directement la fonction API directement.
NOTE : Si vous avez activé les tableaux de bord publics (PD), cette vulnérabilité est classée comme élevée par Grafana. Même si vous avez désactivé les tableaux de bord publics, cette vulnérabilité présente toujours un risque. Cependant, le déclenchement du problème nécessite des privilèges de lecture de la source de données et l'accès à la base de données de l'utilisateur. Grafana API par l'intermédiaire d'un script de développeur.
Atténuation
- La mise à jour vers les versions corrigées de Grafana , à savoir 9.5.3, 9.4.12, 9.3.15, 9.2.19 et 8.5.26, est fortement recommandée.
- Essayez d'éviter d'utiliser des requêtes mixtes avec les tableaux de bord publics.
CVE-2023-34409 : Vulnérabilité de contournement de l'authentification de PMM
Contexte
Percona Monitoring and Management (PMM) est un outil de surveillance et de gestion pour les bases de données open source, notamment MySQL, PostgreSQL et MongoDB. Il collecte les métriques de vos bases de données et de vos hôtes et les affiche dans un tableau de bord basé sur le web. PMM comprend également des fonctions de dépannage, d'alerte et d'optimisation des performances.
Vulnérabilité
Cette vulnérabilité, répertoriée sous le nom de CVE-2023-34409, est une vulnérabilité de contournement d'authentification qui existe dans la façon dont PMM gère l'authentification. Toutes les versions de PMM à partir de 2.0.0 sont supposées être vulnérables.
Dans les versions vulnérables de PMM, la fonction d'authentification supprime des segments de l'URL jusqu'à ce qu'elle trouve un modèle correspondant dans son jeu de règles. La fonction n'analyse pas correctement les chemins d'URL pour rejeter les tentatives de traversée de chemin. Cette faille peut être exploitée par un attaquant distant non authentifié en envoyant une URL malformée à PMM, qui peut contourner l'authentification et accéder aux journaux de PMM, ce qui entraîne la divulgation d'informations sensibles et une potentielle escalade des privilèges.
Atténuation
- La mise à jour vers les versions corrigées de PMM, c'est-à-dire 2.37.1, est fortement recommandée, en particulier si l'instance de PMM est accessible directement depuis l'internet.
Commentaires