Fortra met en garde contre une faille critique de mot de passe codé en dur dans le flux de travail de FileCatalyst qui pourrait permettre à des attaquants d’accéder sans autorisation à une base de données interne pour voler des données et obtenir des privilèges d’administrateur.
Le mot de passe codé en dur peut être utilisé par n’importe qui pour accéder à distance à une base de données HYPERSQL de workflow FileCatalyst exposée (HSQLDB), obtenant un accès non autorisé à des informations potentiellement sensibles.
De plus, les informations d’identification de la base de données peuvent être utilisées de manière abusive pour créer de nouveaux utilisateurs administrateurs, afin que les attaquants puissent obtenir un accès de niveau administratif à l’application de workflow FileCatalyst et prendre le contrôle total du système.
Dans un bulletin de sécurité publié hier, Fortra indique que le problème est suivi sous la référence CVE-2024-6633 (CVSS v3. 1: 9.8, « critique ») et affecte le workflow FileCatalyst 5.1.6 Build 139 et les versions antérieures. Il est recommandé aux utilisateurs de passer à la version 5.1.7 ou ultérieure.
Fortra a noté dans l’avis que HSQLDB est inclus uniquement pour faciliter le processus d’installation et recommande aux utilisateurs de mettre en place des solutions alternatives après l’installation.
« Le HSQLDB n’est inclus que pour faciliter l’installation, a été déprécié et n’est pas destiné à une utilisation en production selon les guides du fournisseur », lit-on dans le bulletin.
« Cependant, les utilisateurs qui n’ont pas configuré le flux de travail FileCatalyst pour utiliser une base de données alternative par recommandations sont vulnérables aux attaques de toute source pouvant atteindre la base de données HSQLDB. »
Il n’y a aucune atténuation ou solution de contournement, il est donc recommandé aux administrateurs système d’appliquer les mises à jour de sécurité disponibles dès que possible.
Découverte et détails des défauts
Tenable a découvert CVE-2024-6633 le 1er juillet 2024, lorsqu’ils ont trouvé le même mot de passe statique, « GOSENSGO613 », sur tous les déploiements de workflow FileCatalyst.
Tenable explique que le flux de travail interne HSQLDB est accessible à distance via le port TCP 4406 sur les paramètres par défaut du produit, de sorte que l’exposition est importante.
« Une fois connecté à la base de données HSQLDB, l’attaquant peut effectuer des opérations malveillantes dans la base de données. Par exemple, l’attaquant peut ajouter un utilisateur de niveau administrateur dans la table DOCTERA_USERS, permettant l’accès à l’application Web de Workflow en tant qu’utilisateur administrateur. »- Tenable
Tenable note que les utilisateurs finaux ne peuvent pas changer ce mot de passe par des moyens conventionnels, donc la mise à niveau vers 5.1.7 ou une version ultérieure est la seule solution.
Le haut niveau d’accès, la facilité d’exploitation et les gains potentiels pour les cybercriminels exploitant CVE-2024-6633 rendent cette faille extrêmement dangereuse pour les utilisateurs du flux de travail FileCatalyst.
Les produits Fortra sont en permanence dans le collimateur des attaquants, car leurs failles critiques peuvent entraîner des compromissions à grande échelle de plusieurs réseaux d’entreprise de grande valeur à la fois.