Les bogues pourraient permettre à un attaquant de prendre le contrôle d’un système affecté à ses propres fins ou de faire planter le logiciel, provoquant un déni de service.
La société de sécurité Trend Micro a été contrainte de publier un correctif pour son propre outil de gestion logicielle Apex Central après que la plateforme de gestion des vulnérabilités Tenable ait identifié plusieurs failles de sécurité.
Les bogues affectent toutes les versions d’Apex Central (sur site) antérieures à la build 7190.
Dans un bulletin de sécurité, Trend Micro a déclaré à propos de la faille la plus grave, notée 9,8 : « Une vulnérabilité LoadLibraryEX dans Trend Micro Apex Central pourrait permettre à un attaquant distant non authentifié de charger une DLL contrôlée par un attaquant dans un exécutable de clé, conduisant à l’exécution de code fourni par l’attaquant dans le contexte de SYSTEM sur les installations concernées. »
Erik Avakian, conseiller technique chez Info-Tech Research Group, a expliqué pourquoi il s’agit d’un problème. « Il existe une faille critique dans le serveur de gestion dans la façon dont l’un de ses services d’arrière-plan gère certains types de messages réseau, ce qui permet à un attaquant sur le réseau d’exécuter son propre code sans se connecter. Ce service acceptera un message de n’importe qui sur le réseau et pourra ensuite charger aveuglément une DLL Windows à l’aide d’une fonction Windows standard. Le problème est que le logiciel ne valide pas correctement l’origine de cette DLL. «
Lorsque cela se produit, a-t-il expliqué, le logiciel concerné exécutera le code de l’attaquant, probablement au niveau de privilège le plus élevé. Ainsi, dans ces circonstances, l’attaquant peut pointer Apex Central vers une DLL qu’il contrôle, par exemple, sur un réseau distant. Cela pourrait ensuite s’étendre plus profondément dans l’environnement logiciel de l’entreprise. « En bref, si ce serveur est exposé et non corrigé, il peut être pris en charge à distance », a déclaré Avakian.
Ce qui rend l’attaque particulièrement insidieuse, dit-il, c’est que les attaquants n’ont pas besoin de se connecter au serveur ni d’y copier des fichiers. « Ils peuvent simplement héberger une DLL malveillante quelque part qu’ils contrôlent et demander à Apex Central de la charger. En raison de la faille, Apex Central charge la DLL elle-même, récupérant et exécutant efficacement le code de l’attaquant sans vérifier qui l’a demandé. «
Il a ajouté que le contexte SYSTEM était important car cela signifie que le service vulnérable s’exécute avec un maximum de privilèges. Ainsi, cela permettrait à l’attaquant d’effectuer un large éventail d’activités, notamment la modification de fichiers, l’installation ou la désactivation de logiciels, la création de comptes d’utilisateurs ou l’utilisation du serveur comme point de départ pour attaquer d’autres systèmes.
La vulnérabilité ne semble pas être le résultat de modifications récentes du logiciel. » dit Avakian. « Tout dans les documents publiés indique que cette faille peut être présente depuis un certain temps. L’avis affecte toutes les versions inférieures à la version corrigée, et rien n’indique qu’il a été introduit récemment. En apparence, cela semble être un problème de longue date qui n’a été découvert et résolu que récemment. «
Ni Trend Micro ni Tenable n’ont répondu aux demandes de commentaires au moment de la publication.
En plus de cette vulnérabilité critique, le bulletin de Trend Micro a également mis en évidence deux autres problèmes de grande gravité, dont l’exploitation ne nécessite ni l’un ni l’autre une authentification. Le premier est une vulnérabilité de valeur de retour NULL non vérifiée dans Trend Micro Apex Central qui pourrait permettre à un attaquant distant de créer une condition de déni de service sur les installations affectées. La seconde est une vulnérabilité de lecture hors limites dans Trend Micro Apex Central qui pourrait également permettre à un attaquant distant de créer une condition de déni de service. Les trois failles sont corrigées dans la build 7190.
L’avis de Trend Micro soulignait que pour exploiter de telles vulnérabilités, l’attaquant aurait généralement besoin d’accéder à une machine vulnérable.
Cependant, la société a conseillé à ses clients de revoir l’accès à distance aux systèmes critiques pour garantir que les politiques et la sécurité du périmètre sont à jour. Il les a également avertis de mettre à jour les dernières versions dès que possible.
