Quatre vulnérabilités, dont l’une est jugée critique, ont été découvertes dans le serveur central Perforce Helix, une plate-forme de gestion de code source largement utilisée par les secteurs des jeux, du gouvernement, de l’armée et de la technologie.

Les analystes de Microsoft ont découvert les failles lors d’une revue de sécurité du produit, que les studios de développement de jeux de l’entreprise utilisent, et les ont signalés de manière responsable à Perforce fin août 2023.

Bien que Microsoft affirme n’avoir observé aucune tentative d’exploitation des vulnérabilités découvertes dans la nature, il est recommandé aux utilisateurs du produit de passer à la version 2023.1/2513900, publiée le 7 novembre 2023, pour atténuer le risque.

Les vulnérabilités fondamentales de Perforce Helix
Les quatre failles découvertes par Microsoft impliquent principalement des problèmes de déni de service (DoS), la plus grave permettant l’exécution arbitraire de code à distance en tant que système local par des attaquants non authentifiés.

Les vulnérabilités sont résumées comme suit:

  1. CVE-2023-5759 (score CVSS de 7,5): Non authentifié (DoS) via un abus d’en-tête RPC.
  2. CVE-2023-45849 (score CVSS de 9,8): Exécution de code à distance non authentifiée en tant que système local.
  3. CVE-2023-35767 (score CVSS 7,5): Dos non authentifié via une commande à distance.
  4. CVE-2023-45319 (score CVSS 7,5): Dos non authentifié via une commande à distance.

La faille la plus dangereuse de l’ensemble, CVE-2023-45849, permet aux attaquants non authentifiés d’exécuter du code à partir du « Système local », un compte Windows à privilèges élevés réservé aux fonctions système. Ce niveau de compte peut accéder aux ressources locales et aux fichiers système, modifier les paramètres du registre,etc.

La vulnérabilité provient de la mauvaise gestion par le serveur de la commande RPC user-bgtask. Dans sa configuration par défaut, Perforce Server permet aux attaquants non authentifiés d’exécuter à distance des commandes arbitraires, y compris des scripts PowerShell, en tant que système local.

En exploitant CVE-2023-45849, les attaquants peuvent installer des portes dérobées, accéder à des informations sensibles, créer ou modifier des paramètres système et potentiellement prendre le contrôle total du système exécutant une version vulnérable de Perforce Server.

Chaîne d’appel de fonction menant à l’exécution de la commande

Les trois vulnérabilités restantes sont moins graves, permettant des attaques par déni de service, mais peuvent toujours entraîner des perturbations opérationnelles qui pourraient se traduire par des pertes financières importantes lors de déploiements à grande échelle.

Recommandations de protection
Outre le téléchargement de la dernière version d’Helix Core à partir du portail de téléchargement du fournisseur, Microsoft propose de suivre les étapes suivantes:

  • Mettez régulièrement à jour les logiciels tiers.
  • Restreindre l’accès à l’aide d’un VPN ou d’une liste d’autorisations IP.
  • Utilisez des certificats TLS avec un proxy pour la validation de l’utilisateur.
  • Enregistrez tous les accès au serveur Perforce.
  • Configurez des alertes de plantage pour les équipes informatiques et de sécurité.
  • Utilisez la segmentation du réseau pour contenir les violations.

Il est également recommandé de suivre les conseils fournis dans ce guide de sécurité officiel.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *