Multiples vulnérabilités dans GLPI

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité

Systèmes affectés

- GLPI versions 9.5.x antérieures à 9.5.9
- GLPI versions 10.0.x versions antérieures à 10.0.3

Résumé

Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte bibliothèque tierce - htmLawed - qui est embarquée par GLPI. Elle est due à la présence d’un fichier de test htmLawedTest.php et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance.

La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une injection SQL afin d'obtenir une connexion avec n’importe quel utilisateur ayant au préalable défini une clé API.

Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de signaler l'existence de ces vulnérabilités.

Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE-2022-35914.

DÉTECTION

Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès aux ressources suivantes :

- /vendor/htmlawed/htmlawed/htmLawedTest.php
- /vendor/htmlawed/htmlawed/404.php
- /vendor/

Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et doivent donc faire l'objet d'une attention particulière :

- /redistest.php
- /css/Arui.php
- /css/legacy/Arui.php
- /css/legacy/Arui1.php

Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis.

Le CERT-FR tient à rappeler plusieurs points importants :

- Les produits tels que GLPI ne devraient pas être exposés sur Internet.
- En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises en œuvre [1].
- Dans tous les cas, le dossier /vendor/ qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur puisse avoir accès à ce type de dossier.
- Enfin, des restrictions d'accès direct sur le dossier /vendor/ doivent-être mises en place par le biais des configurations sur le serveur Web.

En cas de suspicion de compromission, il est recommandé de consulter les [bons réflexes en cas d'intrusion sur votre système d'information](https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) [2].  

Contournement provisoire

S'il n'est pas possible de déployer le correctif rapidement, il est fortement recommandé :

- de désactiver l’option Enable login with external token dans le menu de configuration de l’API ;
- de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité GLPI du 14 septembre 2022
https://github.com/glpi-project/glpi/security/advisories  
- Bulletin d'actualité CERTFR-2022-ACT-041 du 20 septembre 2022
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2022-ACT-041/  
- Référence CVE CVE-2022-35914
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35914  
- Référence CVE CVE-2022-35947
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35947  
- [1] Guide ANSSI pour la sécurisation des services exposés sur Internet
https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/  
- [2] Bons réflexes en cas d'intrusion sur votre système d'information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-010/