ISGroup Conseil en Cybersécurité

Contournement de l’authentification et inclusion de fichiers locaux dans PRTG Network Monitor (CVE-2018-19410)

PRTG Network Monitor dans ses versions 18.2.39.1661 et antérieures est vulnérable à la création distante d’utilisateurs non authentifiés en raison de contrôles d’autorisation inadéquats et d’une inclusion de fichiers locaux (LFI). Les attaquants peuvent exploiter cette faille pour générer des utilisateurs avec des privilèges élevés, y compris des administrateurs, sans authentification. Actuellement, cette vulnérabilité est activement exploitée.

ProduitPRTG-Network-Monitor
Date07-02-2025 15:35:32
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La vulnérabilité est présente dans le fichier /public/login.htm, qui permet l’inclusion non autorisée de fichiers via la directive include. Les attaquants peuvent manipuler cette directive pour inclure le fichier /api/addusers.htm, ce qui leur permet de créer de nouveaux utilisateurs avec des privilèges de lecture-écriture et administratifs. Étant donné que cette vulnérabilité affecte les mécanismes d’authentification, l’exploitation peut mener à une compromission complète du système de surveillance, permettant aux attaquants de manipuler les configurations réseau, de désactiver des alertes ou de se déplacer latéralement au sein d’un environnement.

Un exploit de type preuve de concept (PoC) publiquement disponible démontre comment un attaquant peut créer une requête malveillante pour ajouter un nouvel utilisateur sans nécessiter d’authentification. Compte tenu de la gravité de la faille et de son exploitation active, les organisations utilisant des versions vulnérables de PRTG Network Monitor doivent prendre immédiatement des mesures correctives.

Recommandations

Pour atténuer cette vulnérabilité, les utilisateurs doivent :

  • Mettre à jour vers la dernière version de PRTG Network Monitor qui corrige ce problème.
  • Restreindre l’accès externe à l’interface web aux plages IP de confiance.
  • Surveiller les journaux réseau pour détecter toute tentative non autorisée de création d’utilisateurs.
  • Appliquer des règles de pare-feu d’application web (WAF) pour bloquer les requêtes malveillantes exploitant cette faille.

Références

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *