AlertesVulnérabilités liées à l’exécution de code à distance dans WSO2

Numéro : AL22-005
Date : 27 avril 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Vue d’ensemble

Le 1er avril 2022, WSO2 a fait état d’une vulnérabilité Note de bas de page 1 (désignée CVE-2022-29464 Note de bas de page 2) touchant une gamme de produits. L’exploitation de cette vulnérabilité pourrait permettre l’exécution de code à distance en raison de la validation incorrecte d’entrées utilisateur.

Le 25 avril 2022, la Cybersecurity and Infrastructure Security Agency (CISA) a annoncé que la vulnérabilité était exploitée activement Note de bas de page 3. Le Centre pour la cybersécurité est également au courant de l’exploitation active de cette vulnérabilité au Canada.

Détails

Le 1er avril 2022, WSO2 a fait état de la vulnérabilité CVE-2022-29464 Note de bas de page 1Note de bas de page 2 qui permet l’exécution de code à distance sur de multiples produits. Le code CVSS de cette vulnérabilité a été évalué à 9,8 en raison d’une validation incorrecte des entrées utilisateur. L’exploitation de cette vulnérabilité mène au téléversement réussi d’un fichier arbitraire sur le système touché permettant ainsi à un utilisateur non authentifié d’exécuter ce fichier à distance aux fins d’exploitation approfondie.

Cette vulnérabilité touche les produits suivants :

  • WSO2 API Manager, version 2.2.0 et versions antérieures;
  • WSO2 Identity Server, version 5.2.0 et versions antérieures;
  • WSO2 Identity Server Analytics, versions 5.4.0, 5.4.1, 5.5.0 et 5.6.0;
  • WSO2 Identity Server as Key Manager, version 5.3.0 et versions antérieures;
  • WSO2 Enterprise Integrator, version 6.2.0 et versions antérieures;
  • WSO2 Open Banking AM, version 1.4.0 et versions antérieures;
  • WSO2 Open Banking KM, version 1.4.0 et versions antérieures.

Mesures recommandées

WSO2 a fourni des mesures d’atténuation temporaires et des correctifs pour toutes les versions produit prises en charge. Tous les clients ayant un abonnement au soutien doivent passer en revue les mises à jour de WSO2 et appliquer les correctifs recommandés Note de bas de page 4.

Pour ce qui est des organisations qui utilisent des versions de source ouverte ou des versions dont la licence a pris fin, ou qui ne sont pas en mesure d’installer les correctifs, WSO2 recommande de prendre les mesures d’atténuation pour protéger les applications et les systèmes touchés par ces vulnérabilités. Voici un sommaire des mesures d’atténuation énumérées dans le bulletin de sécurité WSO2 :

  • API Manager, Identity Server, Identity Server as Key Manager et IS Analytics
    • Supprimer tous les mappages définis à l'intérieur de la balise FileUploadConfid dans le fichier <product_home>/repository/conf/carbon.xml
  • API Manager
    • Ajouter la configuration indiquée dans le bulletin de sécurité WSO2 au fichier <product_home>/repository/conf/deployment.toml
  • Identity Server et Identity Server as Key Manager
    • Ajouter la configuration indiquée dans le bulletin de sécurité WSO2 au fichier <product_home>/repository/conf/deployment.toml
  • Enterprise Integrator
    • Pour le profil EI, retirer les mappages suivants du fichier <product_home>/conf/carbon.xml dans la section <FileUploadConfig>.
    • Pour le processus Business ou les profils Broker et Analytics, appliquer les mêmes modifications pour le fichier carbon.xml dans les emplacements indiqués dans le bulletin de sécurité WSO2, respectivement.
  • Autres versions ou produits non pris en charge basés sur les versions 4 de WSO2 Carbon Kernel.
    • Supprimer tous les mappages définis à l'intérieur de la balise FileUploadConfid dans le fichier <product_home>/repository/conf/carbon.xml

Proofpoint a publié une signature Suricata de détection d’intrusion pour aider à cerner les tentatives d’exploitation Note de bas de page 5.

Dernière mise à jour: