ISGroup Conseil en Cybersécurité

CVE-2024-48248 : NAKIVO Backup and Replication – Lecture arbitraire de fichiers sans authentification

NAKIVO Backup & Replication est une solution de protection des données largement utilisée, conçue pour effectuer la sauvegarde et la restauration d’environnements virtualisés et physiques. Une vulnérabilité critique a été découverte dans certaines versions du logiciel, permettant à un attaquant non authentifié de lire des fichiers arbitraires sur le système sous-jacent. Cette vulnérabilité est activement exploitée dans des environnements réels.

ProduitNAKIVO Backup & Replication
Date27/03/2025 10:35:43
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La vulnérabilité est causée par une validation incorrecte des entrées dans la fonction STPreLoadManagement, qui traite les données fournies par l’utilisateur dans des requêtes JSON. Les attaquants peuvent créer des requêtes HTTP POST malveillantes contenant des charges utiles (payloads) spécifiques qui exploitent la méthode getImageByPath pour lire des fichiers système sensibles.

En envoyant une requête spécialement conçue, un attaquant non authentifié peut récupérer le contenu de fichiers tels que /etc/passwd sur les systèmes basés sur Linux ou C:/windows/win.ini sur les systèmes Windows. La réponse à ces requêtes confirme le succès de l’exploitation lorsque le contenu du fichier attendu apparaît dans les données renvoyées.

Cette vulnérabilité représente un risque de sécurité important, car elle permet aux attaquants d’accéder à des informations système confidentielles, à des identifiants et à d’autres données sensibles, avec le potentiel de provoquer une élévation de privilèges ou une compromission supplémentaire du système.

Recommandations

Pour atténuer cette vulnérabilité, les administrateurs doivent adopter les mesures suivantes :

  1. Mise à jour : mettez à jour NAKIVO Backup & Replication vers la dernière version corrigée fournie par l’éditeur.

  2. Restriction de l’accès : limitez l’exposition réseau en restreignant l’accès à l’interface web et aux points de terminaison (endpoints) de l’API.

  3. Application de règles de Web Application Firewall (WAF) : implémentez des règles WAF pour détecter et bloquer les charges utiles malveillantes tentant d’exploiter cette vulnérabilité.

  4. Surveillance des tentatives d’exploitation : examinez régulièrement les journaux (logs) à la recherche de requêtes API inhabituelles ou de tentatives d’accès non autorisées.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *