CERTFR-2022-ALE-010
Vulnerability from certfr_alerte

Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte bibliothèque tierce - htmLawed - qui est embarquée par GLPI. Elle est due à la présence d’un fichier de test htmLawedTest.php et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance.

La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une injection SQL afin d'obtenir une connexion avec n’importe quel utilisateur ayant au préalable défini une clé API.

Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de signaler l'existence de ces vulnérabilités.

Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE-2022-35914.

DÉTECTION

Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès aux ressources suivantes :

  • /vendor/htmlawed/htmlawed/htmLawedTest.php
  • /vendor/htmlawed/htmlawed/404.php
  • /vendor/

Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et doivent donc faire l'objet d'une attention particulière :

  • /redistest.php
  • /css/Arui.php
  • /css/legacy/Arui.php
  • /css/legacy/Arui1.php

Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis.

Le CERT-FR tient à rappeler plusieurs points importants :

  • Les produits tels que GLPI ne devraient pas être exposés sur Internet.
  • En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises en œuvre [1].
  • Dans tous les cas, le dossier /vendor/ qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur puisse avoir accès à ce type de dossier.
  • Enfin, des restrictions d'accès direct sur le dossier /vendor/ doivent-être mises en place par le biais des configurations sur le serveur Web.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [2].

Contournement provisoire

S'il n'est pas possible de déployer le correctif rapidement, il est fortement recommandé :

  • de désactiver l’option Enable login with external token dans le menu de configuration de l’API ;
  • de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
GLPI GLPI GLPI versions 9.5.x antérieures à 9.5.9
GLPI GLPI GLPI versions 10.0.x versions antérieures à 10.0.3
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "GLPI versions 9.5.x ant\u00e9rieures \u00e0 9.5.9",
      "product": {
        "name": "GLPI",
        "vendor": {
          "name": "GLPI",
          "scada": false
        }
      }
    },
    {
      "description": "GLPI versions 10.0.x versions ant\u00e9rieures \u00e0 10.0.3",
      "product": {
        "name": "GLPI",
        "vendor": {
          "name": "GLPI",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2023-03-14",
  "content": "## Contournement provisoire\n\nS\u0027il n\u0027est pas possible de d\u00e9ployer le correctif rapidement, il est\nfortement recommand\u00e9 :\n\n-   de d\u00e9sactiver l\u2019option *Enable login with external token* dans le\n    menu de configuration de l\u2019API ;\n-   de supprimer le fichier */vendor/htmlawed/htmlawed/htmLawedTest.php*\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2022-35947",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-35947"
    },
    {
      "name": "CVE-2022-35914",
      "url": "https://www.cve.org/CVERecord?id=CVE-2022-35914"
    }
  ],
  "initial_release_date": "2022-10-07T00:00:00",
  "last_revision_date": "2023-03-14T00:00:00",
  "links": [
    {
      "title": "[2] Bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me d\u0027information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "[1] Guide ANSSI pour la s\u00e9curisation des services expos\u00e9s sur Internet",
      "url": "https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERTFR-2022-ACT-041 du 20 septembre 2022",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-041/"
    }
  ],
  "reference": "CERTFR-2022-ALE-010",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2022-10-07T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2023-03-14T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Contournement de la politique de s\u00e9curit\u00e9"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 14 septembre 2022, l\u0027\u00e9diteur de GLPI (Gestionnaire Libre de Parc\nInformatique) a d\u00e9clar\u00e9 plusieurs vuln\u00e9rabilit\u00e9s sur le produit, dont\ndeux critiques. Elles permettent \u00e0 un attaquant de provoquer une\nex\u00e9cution de code arbitraire \u00e0 distance et un contournement de la\npolitique de s\u00e9curit\u00e9.\n\nLa vuln\u00e9rabilit\u00e9 r\u00e9f\u00e9renc\u00e9e par l\u0027identifiant CVE-2022-35914 affecte\nbiblioth\u00e8que tierce - *htmLawed* - qui est embarqu\u00e9e par GLPI. Elle est\ndue \u00e0 la pr\u00e9sence d\u2019un fichier de test *htmLawedTest.php* et permet \u00e0 un\nattaquant non authentifi\u00e9 d\u2019ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nLa seconde vuln\u00e9rabilit\u00e9 immatricul\u00e9e CVE-2022-35947 permet \u00e0 un\nattaquant de r\u00e9aliser une injection SQL afin d\u0027obtenir une connexion\navec n\u2019importe quel utilisateur ayant au pr\u00e9alable d\u00e9fini une cl\u00e9 API.\n\nLe CERT-FR a publi\u00e9 un bulletin d\u0027actualit\u00e9 le 20 septembre 2022 afin de\nsignaler l\u0027existence de ces vuln\u00e9rabilit\u00e9s.\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003eLe CERT-FR a connaissance de nombreux\nincidents li\u00e9s \u00e0 l\u0027exploitation de la vuln\u00e9rabilit\u00e9 immatricul\u00e9e\nCVE-2022-35914.\u003c/strong\u003e\u003c/span\u003e\n\n## \u003cstrong\u003eD\u00c9TECTION\u003c/strong\u003e\n\nIl est recommand\u00e9 d\u0027effectuer une v\u00e9rification des journaux \u00e0 la\nrecherche de tentatives d\u0027acc\u00e8s aux ressources suivantes :\n\n-   */vendor/htmlawed/htmlawed/htmLawedTest.php*\n-   */vendor/htmlawed/htmlawed/404.php*\n-   */vendor/*\n\nPar ailleurs, des requ\u00eates vers les ressources suivantes peuvent \u00eatre en\nlien avec l\u2019attaque et doivent donc faire l\u0027objet d\u0027une attention\nparticuli\u00e8re :\n\n-   */redistest.php*\n-   */css/Arui.php*\n-   */css/legacy/Arui.php*\n-   */css/legacy/Arui1.php*\n\nSi ces requ\u00eates sont observ\u00e9es, il sera alors n\u00e9cessaire d\u0027effectuer une\nv\u00e9rification suppl\u00e9mentaire \u00e0 la recherche de fichiers malveillants\n\u00e9ventuellement d\u00e9pos\u00e9s par un attaquant pour lui permettre de maintenir\nun acc\u00e8s au syst\u00e8me compromis.\n\nLe CERT-FR tient \u00e0 rappeler plusieurs points importants :\n\n-   Les produits tels que GLPI ne devraient pas \u00eatre expos\u00e9s sur\n    Internet.\n-   En cas d\u0027obligation d\u0027acc\u00e8s depuis l\u0027ext\u00e9rieur, des mesures de\n    s\u00e9curit\u00e9 doivent \u00eatre mises en \u0153uvre \\[1\\].\n-   Dans tous les cas, le dossier */vendor/* qui contient les\n    biblioth\u00e8ques tierces ne devrait pas \u00eatre publiquement accessible\n    depuis Internet. Un tel dossier doit \u00eatre d\u00e9plac\u00e9 en dehors de la\n    racine du serveur Web de fa\u00e7on \u00e0 pr\u00e9venir tout acc\u00e8s par adressage\n    direct aux fichiers pr\u00e9sents dans ce dossier. Il n\u0027existe aucune\n    raison l\u00e9gitime qui justifierait qu\u0027un visiteur puisse avoir acc\u00e8s \u00e0\n    ce type de dossier.\n-   Enfin, des restrictions d\u0027acc\u00e8s direct sur le dossier */vendor/*\n    doivent-\u00eatre mises en place par le biais des configurations sur le\n    serveur Web.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les\n[bons r\u00e9flexes en cas d\u0027intrusion sur votre syst\u00e8me\nd\u0027information](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/)\n\\[2\\].\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans GLPI",
  "vendor_advisories": [
    {
      "published_at": "2022-09-14",
      "title": "Bulletin de s\u00e9curit\u00e9 GLPI",
      "url": "https://github.com/glpi-project/glpi/security/advisories"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.