CERTFR-2018-ALE-012
Vulnerability from certfr_alerte

Le 26 octobre 2018, l'éditeur Wallix a publié une note de sécurité concernant son produit AdminBastion qui inclut la bibliothèque libssh. Celle-ci est affectée par la vulnérabilité CVE-2018-10933 dont l'exploitation permet de contourner de manière triviale l'authentification par clé ssh.

Les produits Wallix AdminBastion ont pour objectif de sécuriser et surveiller l'activité des administrateurs. Ces derniers se connectent sur le bastion de manière non privilégiée, ce qui leur permet de rebondir sur un compte privilégié au sein du système administré sans en connaître les secrets.

Solution

Le CERT-FR recommande de mettre à jour ce produit sans attendre. En cas d'impossibilité de mise à jour de manière rapide, il est nécessaire de filtrer l'accès à ce service aux seuls administrateurs, de changer le mode d'authentification ssh et d'archiver les clés publiques des comptes utilisateurs. Une évaluation des risque doit être conduite pour envisager une désactivation immédiate du bastion et l'utilisation de moyens dégradés pour l'administration.

Afin de rechercher une exploitation éventuelle de la vulnérabilité, les événements suivants peuvent être observés dans les journaux produits par le bastion :

None
Impacted products
Vendor Product Description
Wallix N/A Wallix AdminBastion versions antérieures
Wallix N/A Wallix AdminBastion version 6 jusqu'à la version "HotFix 12"
Wallix N/A Wallix AdminBastion version 5 jusqu'à la version "HotFix 24"
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Wallix AdminBastion versions ant\u00e9rieures",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Wallix",
          "scada": false
        }
      }
    },
    {
      "description": "Wallix AdminBastion version 6 jusqu\u0027\u00e0 la version \"HotFix 12\"",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Wallix",
          "scada": false
        }
      }
    },
    {
      "description": "Wallix AdminBastion version 5 jusqu\u0027\u00e0 la version \"HotFix 24\"",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Wallix",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2019-02-04",
  "content": "## Solution\n\nLe CERT-FR recommande de mettre \u00e0 jour ce produit sans attendre. En cas\nd\u0027impossibilit\u00e9 de mise \u00e0 jour de mani\u00e8re rapide, il est n\u00e9cessaire de\nfiltrer l\u0027acc\u00e8s \u00e0 ce service aux seuls administrateurs, de changer le\nmode d\u0027authentification ssh et d\u0027archiver les cl\u00e9s publiques des comptes\nutilisateurs. Une \u00e9valuation des risque doit \u00eatre conduite pour\nenvisager une d\u00e9sactivation imm\u00e9diate du bastion et l\u0027utilisation de\nmoyens d\u00e9grad\u00e9s pour l\u0027administration.\n\nAfin de rechercher une exploitation \u00e9ventuelle de la vuln\u00e9rabilit\u00e9, les\n\u00e9v\u00e9nements suivants peuvent \u00eatre observ\u00e9s dans les journaux produits par\nle bastion :\n\n\u003cimg src=\"/uploads/wallix-2.png\"\nclass=\"alignnone size-full wp-image-169831\" width=\"906\" height=\"451\" /\u003e\n",
  "cves": [
    {
      "name": "CVE-2018-10933",
      "url": "https://www.cve.org/CVERecord?id=CVE-2018-10933"
    }
  ],
  "initial_release_date": "2018-10-26T00:00:00",
  "last_revision_date": "2019-02-04T00:00:00",
  "links": [],
  "reference": "CERTFR-2018-ALE-012",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2018-10-26T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte",
      "revision_date": "2019-02-04T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    }
  ],
  "summary": "Le 26 octobre 2018, l\u0027\u00e9diteur Wallix a publi\u00e9 une note de s\u00e9curit\u00e9\nconcernant son produit AdminBastion qui inclut la biblioth\u00e8que libssh.\nCelle-ci est affect\u00e9e par la vuln\u00e9rabilit\u00e9 CVE-2018-10933 dont\nl\u0027exploitation permet de contourner de mani\u00e8re triviale\nl\u0027authentification par cl\u00e9 ssh.\n\nLes produits Wallix AdminBastion ont pour objectif de s\u00e9curiser et\nsurveiller l\u0027activit\u00e9 des administrateurs. Ces derniers se connectent\nsur le bastion de mani\u00e8re non privil\u00e9gi\u00e9e, ce qui leur permet de\nrebondir sur un compte privil\u00e9gi\u00e9 au sein du syst\u00e8me administr\u00e9 sans en\nconna\u00eetre les secrets.\n\n\u00a0\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Wallix AdminBastion",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Wallix du 26 octobre 2018",
      "url": "https://www.wallix.com/wallix-security-advisories-alerts/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.