ISGroup Conseil en Cybersécurité

CVE-2022-43939 : Contournement d’autorisation activement exploité via la gestion d’URL non canoniques dans Pentaho Business Analytics Server

Cette vulnérabilité affecte le serveur Pentaho Business Analytics de Hitachi Vantara, en particulier les versions antérieures à 9.4.0.1, 9.3.0.2 et toutes les versions 8.3.x. La CVE-2022-43939 est activement exploitée dans des environnements réels, des attaquants utilisant des exploits de type preuve de concept (PoC) disponibles publiquement pour compromettre les systèmes vulnérables.

ProduitHitachi Vantara
Date05/03/2025 10:30:30
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La CVE-2022-43939 est causée par un défaut de normalisation des chemins d’URL lors des décisions d’autorisation. Par conséquent, un attaquant peut créer des URL malveillantes pour contourner les restrictions de sécurité, obtenant ainsi un accès non autorisé. De plus, lorsqu’elle est combinée avec une autre vulnérabilité (CVE-2022-43769), la chaîne d’exploitation peut mener à l’exécution de code à distance non authentifiée, permettant aux attaquants d’exécuter des commandes arbitraires sur le serveur affecté. Les implémentations de preuves de concept (par exemple, intégrées au framework Metasploit) démontrent comment cette faille peut être exploitée pour exécuter des commandes telles que le lancement à distance d’applications.

Recommandations

  • Mise à jour immédiate : Effectuez la mise à jour vers la version 9.4.0.1 ou ultérieure de Pentaho Business Analytics Server pour garantir que la vulnérabilité est corrigée.
  • Renforcer les filtres d’autorisation : Implémentez un ensemble plus restrictif de filtres d’autorisation au sein de la configuration de sécurité afin de réduire le risque d’exploitation.
  • Effectuer une évaluation de la sécurité : Examinez le déploiement actuel pour identifier d’autres expositions et vérifiez que toutes les configurations de sécurité sont alignées sur les meilleures pratiques.
  • Surveiller les indicateurs de compromission (IoC) : Compte tenu de l’exploitation active, les organisations doivent surveiller les journaux pour détecter toute activité suspecte, y compris les tentatives d’accès non autorisé et les exécutions de commandes inattendues.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *