Skip to main content
Voir tous les produits
Calcul
Stockage
Bases de données
Mise en réseau
Outils pour les développeurs
Diffusion
Sécurité
Services
Industries
Tarification
Communauté
Engagez-vous avec nous
Explorer le blog
Catégories
13
  1. Aperçu des nuages
    50
  2. Calcul
    15
  3. Conteneurs (Kubernetes, Docker)
    33
  4. Bases de données
    20
  5. Outils pour les développeurs
    38
  6. Linode
    258
  7. Linux
    69
  8. Multicloud
    4
  9. Mise en réseau
    32
  10. Source ouverte
    6
  11. Réseau de partenaires
    7
  12. Sécurité
    60
  13. Stockage
    22
Auteurs 53
  1. Austin Gil 1
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Bradley LaBoon 1
  9. Blair Lyon 11
  10. Billy Thompson 10
  11. Christopher Aker 176
  12. Cassie Bubnis 1
  13. Daniele Polencic 4
  14. David Monschein 2
  15. David Rodriguez 1
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 1
  23. Justin Cobbett 16
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 52
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 18
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Shawn Michels 1
  49. Linode Support 13
  50. Tom Asaro 18
  51. Travis Baka 1
  52. Talia Nassi 8
  53. Yuri Goldfeld 1
BlogSécuritéDigest de sécurité Linode 12 juin - 19 juin 2023

Digest de sécurité Linode 12 juin - 19 juin 2023

Linode
The Linode Security Team
16 juin 2023
Digest de sécurité Linode

Dans le digest de cette semaine, nous aborderons les points suivants :

  • Vulnérabilité de Hashicorp Vault en matière de scripts intersites
  • Grafana Contrôle d'accès et vulnérabilités des conditions de course
  • Vulnérabilité du contournement de l'authentification de PMM
CVE-2023-2121 : Vulnérabilité des scripts intersites dans le coffre-fort de Hashicorp

Contexte

Hashicorp Vault est un outil open source conçu pour stocker et gérer en toute sécurité des données sensibles dans des environnements informatiques modernes. Il agit comme une solution centralisée de gestion des secrets, fournissant un moyen sûr de stocker et d'accéder aux mots de passe, aux clés, aux certificats et à d'autres types de secrets, API clés, certificats et autres types de secrets. Vault utilise une combinaison de chiffrement, de politiques de contrôle d'accès et de capacités d'audit pour protéger les informations sensibles. Vault Enterprise est la version commerciale de HashiCorp Vault. Elle offre des fonctionnalités supplémentaires et un support adapté aux déploiements à l'échelle de l'entreprise.

Vulnérabilité

La vulnérabilité, répertoriée sous le nom de CVE-2023-2121, est une vulnérabilité d'injection qui permet l'injection HTML dans l'interface Web de Vault par le biais de valeurs clés. Les produits concernés sont Vault et Vault Enterprise depuis la version 1.10.0.

Vault 1.10.0 a introduit la possibilité d'examiner facilement la différence entre deux révisions de secrets clé-valeur kv-v2 (KV Secrets Engine) dans l'interface web de Vault.

Un utilisateur disposant de privilèges d'écriture sur un montage du moteur de secrets kv-v2 pourrait fournir une chaîne qui serait incorrectement analysée et rendue comme HTML brut par l'interface web de Vault, ce qui conduirait à une injection HTML.

Par défaut, la politique de sécurité du contenu de Vault empêche l'exécution de JavaScript en ligne, évitant ainsi l'exposition aux scripts intersites via ce vecteur. Vault utilise trois mécanismes principaux pour empêcher l'exécution de scripts intersites : le typage fort et la validation des entrées au niveau du back-end, le codage de sortie fourni par le framework au niveau du front-end et une politique de sécurité du contenu restrictive et personnalisable qui inclut le script-src "self" par défaut.

Il convient de noter que l'impact de cette vulnérabilité est faible car un attaquant a besoin de privilèges d'écriture sur un moteur de secrets kv-v2 afin d'injecter des charges utiles.

Atténuation

  • Il est fortement recommandé d'effectuer une mise à jour vers la version corrigée de Vault, à savoir 1.14.0, 1.13.3, 1.12.7 et 1.11.11.
Grafana Contrôle d'accès et vulnérabilités des conditions de course

Contexte

Grafana est une application web open-source d'analyse et de visualisation interactive. Elle fournit des diagrammes, des graphiques et des alertes pour le web lorsqu'elle est connectée à des sources de données prises en charge. Grafana est un outil populaire pour la surveillance et la visualisation de mesures provenant de diverses sources, notamment Prometheus, InfluxDB, Graphite et Elasticsearch. Il peut également être utilisé pour créer des tableaux de bord qui affichent des données provenant de plusieurs sources en une seule vue.

Vulnérabilités

Grafana Les versions 9.5 > 9.5.3, 9.4 > 9.4.12, 9.3 > 9.3.15, 9.0 > 9.2.19 et 8.0 > 8.5.26 présentent plusieurs vulnérabilités que nous allons aborder.

CVE-2023-2183 : Contrôle d'accès défectueux

Grafana offre la possibilité d'envoyer des alertes par l'intermédiaire du panneau d'utilisateur de l'interface Web. API ou le panneau d'utilisateur de l'interface Web.

Cette vulnérabilité, répertoriée sous le nom de CVE-2023-2183, permet à un attaquant ayant le rôle de visualiseur d'envoyer des alertes à l'aide de la fonction Alert-Test. API Ce problème survient parce que la fonction "Alert-Test" ne vérifie pas l'accès de l'utilisateur au serveur. API Ce problème survient parce que l'application ne vérifie pas l'accès de l'utilisateur à la fonction API Cette vulnérabilité est due au fait que le système ne vérifie pas l'accès de l'utilisateur à la fonction alerte. Cette vulnérabilité peut être vue comme étant utilisée de manière abusive dans ce POC.

Il convient de noter que cette option n'est pas disponible dans l'interface utilisateur du panneau d'affichage pour le rôle de visualiseur, mais uniquement via l'option API.

Cette vulnérabilité permet à des utilisateurs malveillants d'abuser de la fonctionnalité en envoyant de multiples messages d'alerte par courrier électronique, Slack et d'autres plateformes, en envoyant des spams aux utilisateurs, en préparant des attaques de phishing ou en bloquant le serveur SMTP/IP, ou en déplaçant automatiquement tous les messages vers un dossier spam ou en les ajoutant à une liste noire d'adresses IP.

Atténuation

  • La mise à jour vers les versions corrigées de Grafana , à savoir 9.5.3, 9.4.12, 9.3.15, 9.2.19 et 8.5.26, est fortement recommandée.
  • Pour éviter le spamming par courrier électronique, envisagez de modifier les paramètres de configuration du serveur SMTP en limitant la possibilité d'envoyer plusieurs courriels à la même adresse électronique par unité de temps/seuil.

CVE-2023-2801 : Condition de course du proxy DS

Grafana offre la possibilité de créer des requêtes mixtes en utilisant des données provenant de plusieurs sources. Par exemple, vous pouvez créer une requête mixte qui utilise des données provenant à la fois de Prometheus et d'InfluxDB. Les tableaux de bord publics sont une autre fonctionnalité de Grafana qui permet aux utilisateurs de partager des tableaux de bord avec des personnes extérieures à l'organisation.

La vulnérabilité, répertoriée sous le nom de CVE-2023-2801, réside dans la manière dont Grafana traite les requêtes mixtes. Lorsque Grafana reçoit une requête mixte, il tente d'exécuter la requête sur chaque source de données à tour de rôle. Cependant, si la requête est malformée, cela peut provoquer un plantage de Grafana . Plus précisément, si vous envoyez un appel API au point de terminaison /ds/query ou à un point de terminaison de requête de tableau de bord public qui contient des requêtes mixtes, vous pouvez faire planter votre instance Grafana . La seule fonctionnalité qui utilise des requêtes mixtes au sein de Grafana à l'heure actuelle est Public Dashboards, mais il est également possible de provoquer ce problème en appelant directement la fonction API directement.

NOTE : Si vous avez activé les tableaux de bord publics (PD), cette vulnérabilité est classée comme élevée par Grafana. Même si vous avez désactivé les tableaux de bord publics, cette vulnérabilité présente toujours un risque. Cependant, le déclenchement du problème nécessite des privilèges de lecture de la source de données et l'accès à la base de données de l'utilisateur. Grafana API par l'intermédiaire d'un script de développeur.

Atténuation

  • La mise à jour vers les versions corrigées de Grafana , à savoir 9.5.3, 9.4.12, 9.3.15, 9.2.19 et 8.5.26, est fortement recommandée.
  • Essayez d'éviter d'utiliser des requêtes mixtes avec les tableaux de bord publics.

CVE-2023-34409 : Vulnérabilité de contournement de l'authentification de PMM

Contexte

Percona Monitoring and Management (PMM) est un outil de surveillance et de gestion pour les bases de données open source, notamment MySQL, PostgreSQL et MongoDB. Il collecte les métriques de vos bases de données et de vos hôtes et les affiche dans un tableau de bord basé sur le web. PMM comprend également des fonctions de dépannage, d'alerte et d'optimisation des performances.

Vulnérabilité

Cette vulnérabilité, répertoriée sous le nom de CVE-2023-34409, est une vulnérabilité de contournement d'authentification qui existe dans la façon dont PMM gère l'authentification. Toutes les versions de PMM à partir de 2.0.0 sont supposées être vulnérables.

Dans les versions vulnérables de PMM, la fonction d'authentification supprime des segments de l'URL jusqu'à ce qu'elle trouve un modèle correspondant dans son jeu de règles. La fonction n'analyse pas correctement les chemins d'URL pour rejeter les tentatives de traversée de chemin. Cette faille peut être exploitée par un attaquant distant non authentifié en envoyant une URL malformée à PMM, qui peut contourner l'authentification et accéder aux journaux de PMM, ce qui entraîne la divulgation d'informations sensibles et une potentielle escalade des privilèges. 

Atténuation

  • La mise à jour vers les versions corrigées de PMM, c'est-à-dire 2.37.1, est fortement recommandée, en particulier si l'instance de PMM est accessible directement depuis l'internet.

Vous pourriez aussi aimer...

Comment se protéger des attaques de ransomware avec Steve Winterfeld, image principale.

Comment se protéger des attaques de ransomware | Steve Winterfeld, Akamai

Dans cette vidéo, Steve Winterfeld, RSSI consultatif chez Akamai, donne des conseils sur la manière dont les entreprises peuvent se protéger contre les attaques de ransomware.
Sécurité
Wazuh est une centrale de cybersécurité où l'on retrouve Code with Harry.

Wazuh est une centrale de cybersécurité - Expert en sécurité Open Source Monitoring & Response

@CodeWithHarry couvre Wazuh, une plateforme de sécurité open-source utilisée pour la collecte et l'analyse de données de sécurité.
Sécurité
Introduction à la sécurité des serveurs.
Talia Nassi

Introduction à la sécurité des serveurs

30 octobre 2023
par Talia Nassi
La sécurité des serveurs est essentielle à l'efficacité d'un environnement en nuage. Pour en savoir plus, cliquez ici.
Sécurité

Commentaires

Laissez un commentaire

Votre adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.