Certains articles de veille peuvent faire l'objet de traduction automatique.
Les chercheurs ont découvert de nombreuses vulnérabilités dans la plateforme Yellowfin BI qui pourraient permettre des attaques d’exécution de code à distance. Les vulnérabilités existaient principalement en raison de clés codées en dur dans l’application. Les développeurs de Yellowfin BI ont corrigé les vulnérabilités suite au rapport de bogue.
Les vulnérabilités de Yellowfin BI existaient en raison de clés codées en dur
Partager les détails dans un récent article de blogl’équipe Assetnote a mis en évidence de nombreuses vulnérabilités graves dans la plateforme Yellowfin BI.
Comme expliqué, les chercheurs ont trouvé ces vulnérabilités lors de l’audit de Yellowfin BI, comme ils le font habituellement pour les applications tierces afin de trouver des vulnérabilités de pré-authentification. En outre, les chercheurs ont expliqué que la cartographie de la surface d’attaque de pré-authentification dans les bases de code monolithes Java aide à détecter les itinéraires possibles par lesquels les accès à distance peuvent se produire sans authentification.
Yellowfin BI est une plate-forme d’analyse qui aide les entreprises à créer des rapports d’intelligence de données et d’autres activités d’analyse en leur fournissant un tableau de bord interactif pour une meilleure visualisation.
Selon Assetnote, ils ont trouvé les vulnérabilités dues aux clés codées en dur, exploitant ce qui pourrait même conduire à l’exécution de code à distance. Plus précisément, ceux-ci comprennent,
- CVE-2022-47884 : un contournement d’authentification est devenu possible via StoryBoardAction dans com/hof/mi/web/action/StoryBodyAction.java, ce qui a permis de se connecter en tant qu’utilisateur en raison d’un contournement de signature qui s’est produit en raison de la clé privée codée en dur sous-jacente.
- CVE-2022-47885 : un autre contournement d’authentification existait dans le servlet JsAPI à cause du cookie EXTAPI-IPID – un ID utilisateur crypté AES avec des clés codées en dur. Tout utilisateur connaissant l’ID de session de la victime pourrait usurper l’identité d’une session à cause des clés codées en dur.
- CVE-2022-47882 : l’implémentation de JWT dans l’API REST reposait sur une clé codée en dur, qui permettait à toute personne disposant d’une clé JWT extraite et d’un ID de jeton d’actualisation valide de créer un utilisateur JWT valide et d’obtenir des privilèges élevés.
- CVE-2022-47883 : les chercheurs pouvaient exécuter des commandes arbitraires via des injections Java Naming and Directory Interface (JNDI), en exploitant un gadget forceString.
Les chercheurs ont partagé les détails techniques et les exploits PoC pour les vulnérabilités dans leur article.
Corrections de défauts reçues
Après avoir découvert les problèmes, l’équipe Assetnote a contacté les développeurs de Yellowfin BI pour signaler les failles.
En réponse, les développeurs ont corrigé les vulnérabilités et publié les correctifs avec Albacore BI 9.8.1. Par conséquent, tous les utilisateurs doivent s’assurer d’utiliser la dernière version du logiciel pour éviter tout exploit.
Poster un commentaire