Progress Software a averti les clients de corriger une faille de sécurité critique d’exécution de code à distance dans le serveur de rapports Telerik qui peut être utilisée pour compromettre des appareils vulnérables.
En tant que plate-forme de reporting basée sur serveur, Telerik Report Server fournit un stockage centralisé pour les rapports et les outils nécessaires pour les créer, les déployer, les fournir et les gérer au sein d’une organisation.
Identifiée comme CVE-2024-6327, la vulnérabilité est due à une désérialisation de la faiblesse des données non fiables que les attaquants peuvent exploiter pour obtenir l’exécution de code à distance sur des serveurs non corrigés.
La vulnérabilité affecte le serveur de rapports 2024 Q2 (10.1.24.514) et les versions antérieures et a été corrigée dans la version 2024 Q2 (10.1.24.709).
« La mise à jour vers Report Server 2024 Q2 (10.1.24.709) ou une version ultérieure est le seul moyen de supprimer cette vulnérabilité », a averti le fabricant de logiciels d’entreprise dans un avis publié mercredi. « L’équipe Progress Telerik recommande fortement d’effectuer une mise à niveau vers la dernière version. »
Les administrateurs peuvent vérifier si leurs serveurs sont vulnérables aux attaques en procédant comme suit:
- Accédez à l’interface utilisateur Web de votre serveur de rapports et connectez-vous à l’aide d’un compte avec des droits d’administrateur
- Ouvrez la page de configuration (~/Configuration/Index).
- Sélectionnez l’onglet À propos et le numéro de version sera affiché dans le volet de droite.
Progress fournit également des mesures d’atténuation temporaires pour ceux qui ne peuvent pas immédiatement mettre à niveau leurs appareils vers la dernière version.
Cela nécessite de remplacer l’utilisateur du pool d’applications du serveur de rapports par un utilisateur avec des autorisations limitées. Ceux qui ne disposent pas déjà d’une procédure pour créer des utilisateurs IIS et affecter un pool d’applications peuvent suivre les informations de ce document de support de progression.
Les anciennes failles de Telerik attaquées
Bien que des progrès n’aient pas encore été partagés si CVE-2024-6327 a été exploité dans la nature, d’autres vulnérabilités Telerik ont été attaquées ces dernières années.
Par exemple, en 2022, le serveur Web Microsoft Internet Information Services (IIS) d’une agence fédérale américaine a été piraté en exploitant la vulnérabilité CVE-2019-18935 critical Progress Telerik UI, qui figure sur la liste des principales vulnérabilités ciblées du FBI et les 25 principaux bogues de sécurité de la NSA exploités par des pirates chinois.
Selon un avis conjoint de la CISA, du FBI et de MS-ISAC, au moins deux groupes de menaces (dont le groupe XE vietnamien) ont violé le serveur vulnérable.
Au cours de la violation, ils ont déployé plusieurs charges utiles de logiciels malveillants et collecté et exfiltré des informations tout en conservant l’accès au réseau compromis entre novembre 2022 et début janvier 2023.
Plus récemment, des chercheurs en sécurité ont développé et publié un exploit de validation de principe (PoC) ciblant l’exécution de code à distance sur les serveurs de rapports Telerik en enchaînant une faille critique de contournement d’authentification (CVE-2024-4358) et un RCE de gravité élevée (CVE-2024-1800).