Résumé

Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de ParcInformatique) a déclaré plusieurs vulnérabilités sur le produit, dontdeux critiques. Elles permettent à un attaquant de provoquer uneexécution de code arbitraire à distance et un contournement de lapolitique de sécurité.

La vulnérabilité référencée par l'identifiant CVE-2022-35914 affectebibliothèque tierce - htmLawed - qui est embarquée par GLPI. Elle estdue à la présence d’un fichier de test htmLawedTest.php et permet à unattaquant non authentifié d’exécuter du code arbitraire à distance.

La seconde vulnérabilité immatriculée CVE-2022-35947 permet à unattaquant de réaliser une injection SQL afin d'obtenir une connexionavec n’importe quel utilisateur ayant au préalable défini une clé API.

Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin designaler l'existence de ces vulnérabilités.

Le CERT-FR a connaissance de nombreuxincidents liés à l'exploitation de la vulnérabilité immatriculéeCVE-2022-35914.

DÉTECTION

Il est recommandé d'effectuer une vérification des journaux à larecherche de tentatives d'accès aux ressources suivantes :

• /vendor/htmlawed/htmlawed/htmLawedTest.php
• /vendor/htmlawed/htmlawed/404.php
• /vendor/

Par ailleurs, des requêtes vers les ressources suivantes peuvent être enlien avec l’attaque et doivent donc faire l'objet d'une attentionparticulière :

• /redistest.php
• /css/Arui.php
• /css/legacy/Arui.php
• /css/legacy/Arui1.php

Si ces requêtes sont observées, il sera alors nécessaire d'effectuer unevérification supplémentaire à la recherche de fichiers malveillantséventuellement déposés par un attaquant pour lui permettre de maintenirun accès au système compromis.

Le CERT-FR tient à rappeler plusieurs points importants :

• Les produits tels que GLPI ne devraient pas être exposés surInternet.
• En cas d'obligation d'accès depuis l'extérieur, des mesures desécurité doivent être mises en œuvre [1].
• Dans tous les cas, le dossier /vendor/ qui contient lesbibliothèques tierces ne devrait pas être publiquement accessibledepuis Internet. Un tel dossier doit être déplacé en dehors de laracine du serveur Web de façon à prévenir tout accès par adressagedirect aux fichiers présents dans ce dossier. Il n'existe aucuneraison légitime qui justifierait qu'un visiteur puisse avoir accès àce type de dossier.
• Enfin, des restrictions d'accès direct sur le dossier /vendor/doivent-être mises en place par le biais des configurations sur leserveur Web.

En cas de suspicion de compromission, il est recommandé de consulter lesbons réflexes en cas d'intrusion sur votre systèmed'information[2].