Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- GLPI versions 10.0.x versions antérieures à 10.0.3
- GLPI versions 9.5.x antérieures à 9.5.9
Résumé
Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte bibliothèque tierce - htmLawed - qui est embarquée par GLPI. Elle est due à la présence d’un fichier de test htmLawedTest.php et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance.
La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une injection SQL afin d'obtenir une connexion avec n’importe quel utilisateur ayant au préalable défini une clé API.
Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de signaler l'existence de ces vulnérabilités.
Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE-2022-35914.
DÉTECTION
Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès aux ressources suivantes :
- /vendor/htmlawed/htmlawed/htmLawedTest.php
- /vendor/htmlawed/htmlawed/404.php
- /vendor/
Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et doivent donc faire l'objet d'une attention particulière :
- /redistest.php
- /css/Arui.php
- /css/legacy/Arui.php
- /css/legacy/Arui1.php
Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis.
Le CERT-FR tient à rappeler plusieurs points importants :
- Les produits tels que GLPI ne devraient pas être exposés sur Internet.
- En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises en œuvre [1].
- Dans tous les cas, le dossier /vendor/ qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur puisse avoir accès à ce type de dossier.
- Enfin, des restrictions d'accès direct sur le dossier /vendor/ doivent-être mises en place par le biais des configurations sur le serveur Web.
En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [2].
Contournement provisoire
S'il n'est pas possible de déployer le correctif rapidement, il est fortement recommandé :
- de désactiver l’option Enable login with external token dans le menu de configuration de l’API ;
- de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité GLPI du 14 septembre 2022 https://github.com/glpi-project/glpi/security/advisories
- [1] Guide ANSSI pour la sécurisation des services exposés sur Internet https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- [2] Bons réflexes en cas d'intrusion sur votre système d'information https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
- Bulletin d'actualité CERTFR-2022-ACT-041 du 20 septembre 2022 https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-041/
- Référence CVE CVE-2022-35914 https://www.cve.org/CVERecord?id=CVE-2022-35914
- Référence CVE CVE-2022-35947 https://www.cve.org/CVERecord?id=CVE-2022-35947