Aller au contenu
Hermes Codex

CVE-2024-57728 : Téléversement arbitraire de fichiers

Sommaire exécutif (Executive Summary)

Section intitulée « Sommaire exécutif (Executive Summary) »

Les versions 5.5.7 et antérieures du logiciel de support à distance SimpleHelp sont vulnérables à une faille de traversée de chemin (path traversal), identifiée sous le nom CVE-2024-57728, qui facilite le téléversement arbitraire de fichiers. Cette vulnérabilité, classée comme un Zip Slip, permet aux utilisateurs administrateurs authentifiés de téléverser des fichiers vers des emplacements arbitraires sur le système de fichiers hôte. Une exploitation réussie conduit à l’exécution de code à distance (RCE) dans le contexte du processus serveur SimpleHelp, posant un risque grave à l’intégrité de l’infrastructure.

Détails de la vulnérabilité

Section intitulée « Détails de la vulnérabilité »

La cause profonde de la vulnérabilité réside dans une validation inadéquate des entrées lors du processus de téléversement de fichiers. Plus précisément, l’application ne parvient pas à assainir correctement les chemins d’accès des entrées de fichiers zip. En élaborant une archive malveillante contenant des séquences de traversée de chemin, telles que ../../, un attaquant peut contourner les restrictions de répertoire prévues.

Lorsqu’elles sont traitées par le serveur SimpleHelp, ces séquences permettent au fichier d’être extrait en dehors du répertoire de stockage désigné. Si l’application serveur s’exécute sur Linux, un attaquant peut cibler des fichiers système critiques, tels que crontab, pour déclencher l’exécution automatisée de commandes. Sur les systèmes Windows, l’écrasement d’exécutables d’application ou de bibliothèques système peut également permettre une exécution complète de code.

Analyse de l’impact

Section intitulée « Analyse de l’impact »

Le potentiel d’exploitation est significatif. En tant que fonctionnalité administrative, cette vulnérabilité permet à un attaquant de :

  • Établir un accès persistant à l’hôte SimpleHelp.
  • Obtenir un contrôle total sur le serveur et potentiellement sur les points de terminaison clients gérés.
  • Faciliter le mouvement latéral à travers le réseau en utilisant le serveur compromis comme point de pivot.

Compte tenu du fait que cette CVE figure dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA, une remédiation immédiate est essentielle.

Indicateurs médico-légaux (Forensic Indicators)

Section intitulée « Indicateurs médico-légaux (Forensic Indicators) »

Les équipes de sécurité doivent surveiller les marqueurs de compromission suivants :

  1. Tentatives d’accès non autorisées : La présence de [WebDownloadServer] Insecure request... dans les journaux du serveur SimpleHelp est un indicateur principal d’acteurs externes tentant d’accéder à des ressources non autorisées.
  2. Modifications de fichiers système : Création ou modification inattendue de fichiers crontab, de binaires système ou de bibliothèques d’application dans le répertoire d’installation de SimpleHelp ou les chemins système.
  3. Apparition anormale de processus : Le processus Java du serveur SimpleHelp initiant des processus enfants inattendus tels que sh, cmd.exe ou powershell.

Atténuation et détection

Section intitulée « Atténuation et détection »

Une mise à niveau immédiate vers la dernière version de SimpleHelp est la recommandation principale. Si la mise à niveau n’est pas immédiatement réalisable, assurez-vous de politiques de contrôle d’accès strictes pour les comptes administratifs.

title: Potential SimpleHelp CVE-2024-57728 Exploit Attempt
description: Détecte les tentatives d'accès non autorisées aux fichiers ciblant le serveur SimpleHelp.
logsource:
  category: web_server
detection:
  selection:
    log_message|contains: "[WebDownloadServer] Insecure request"
  condition: selection

Références

Section intitulée « Références »