CERTFR-2022-ALE-010_Multiples vulnérabilités dans GLPI

ALERTE CERT
CERT-FR

Publié le 7 octobre 2022 à 12h00 - Mis à jour le 5 mars 2025 à 15h18

Référence

CERT-FR-2022-ALE-010

Risque(s)

  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité

Systèmes affectés

  • GLPI versions 9.5.x antérieures à 9.5.9
  • GLPI versions 10.0.x versions antérieures à 10.0.3

Résumé

Le 14 septembre 2022, l'éditeur de GLPI (Gestionnaire Libre de Parc Informatique) a déclaré plusieurs vulnérabilités sur le produit, dont deux critiques. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

La vulnérabilité référencée par l'identifiant CVE-2022-35914 affecte bibliothèque tierce - htmLawed - qui est embarquée par GLPI. Elle est due à la présence d’un fichier de test htmLawedTest.php et permet à un attaquant non authentifié d’exécuter du code arbitraire à distance.

La seconde vulnérabilité immatriculée CVE-2022-35947 permet à un attaquant de réaliser une injection SQL afin d'obtenir une connexion avec n’importe quel utilisateur ayant au préalable défini une clé API.

Le CERT-FR a publié un bulletin d'actualité le 20 septembre 2022 afin de signaler l'existence de ces vulnérabilités.

Le CERT-FR a connaissance de nombreux incidents liés à l'exploitation de la vulnérabilité immatriculée CVE-2022-35914.

Détection

Il est recommandé d'effectuer une vérification des journaux à la recherche de tentatives d'accès aux ressources suivantes :

  • /vendor/htmlawed/htmlawed/htmLawedTest.php
  • /vendor/htmlawed/htmlawed/404.php
  • /vendor/

Par ailleurs, des requêtes vers les ressources suivantes peuvent être en lien avec l’attaque et doivent donc faire l'objet d'une attention particulière :

  • /redistest.php
  • /css/Arui.php
  • /css/legacy/Arui.php
  • /css/legacy/Arui1.php

Si ces requêtes sont observées, il sera alors nécessaire d'effectuer une vérification supplémentaire à la recherche de fichiers malveillants éventuellement déposés par un attaquant pour lui permettre de maintenir un accès au système compromis.

Le CERT-FR tient à rappeler plusieurs points importants :

  • Les produits tels que GLPI ne devraient pas être exposés sur Internet.
  • En cas d'obligation d'accès depuis l'extérieur, des mesures de sécurité doivent être mises en œuvre [1].
  • Dans tous les cas, le dossier /vendor/ qui contient les bibliothèques tierces ne devrait pas être publiquement accessible depuis Internet. Un tel dossier doit être déplacé en dehors de la racine du serveur Web de façon à prévenir tout accès par adressage direct aux fichiers présents dans ce dossier. Il n'existe aucune raison légitime qui justifierait qu'un visiteur puisse avoir accès à ce type de dossier.
  • Enfin, des restrictions d'accès direct sur le dossier /vendor/ doivent-être mises en place par le biais des configurations sur le serveur Web.

En cas de suspicion de compromission, il est recommandé de consulter les [bons réflexes en cas d'intrusion sur votre système d'information](https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) [2]. 

Contournement provisoire

S'il n'est pas possible de déployer le correctif rapidement, il est fortement recommandé :

  • de désactiver l’option Enable login with external token dans le menu de configuration de l’API ;
  • de supprimer le fichier /vendor/htmlawed/htmlawed/htmLawedTest.php

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-010/