Les chercheurs ont découvert 27 vulnérabilités dans Eltima SDK, une bibliothèque utilisée par de nombreux fournisseurs de cloud pour monter à distance un périphérique USB local.
En raison de la pandémie et de la tendance croissante au travail à domicile, les organisations ont commencé à s’appuyer fortement sur les services basés sur le cloud. Cette nécessité a également augmenté les fournisseurs de cloud utilisant le SDK d’Eltima qui permet aux employés de monter des périphériques de stockage de masse USB locaux à utiliser sur leurs bureaux virtuels basés sur le cloud.
Source : Eltima
Cependant, comme les fournisseurs de bureaux cloud, y compris Amazon Workspaces, s’appuient sur des outils comme Eltima, SentinelOne a averti que des millions d’utilisateurs dans le monde ont été exposés aux vulnérabilités découvertes.
Les implications de l’exploitation des failles sont importantes car elles pourraient permettre aux acteurs de la menace distants d’obtenir un accès élevé sur un bureau cloud pour exécuter du code en mode noyau.
« Ces vulnérabilités permettent aux attaquants d’élever les privilèges leur permettant de désactiver les produits de sécurité, d’écraser les composants du système, de corrompre le système d’exploitation ou d’effectuer des opérations malveillantes sans entrave », a expliqué un nouveau rapport de Laboratoires sentinelles.
Cet accès élevé pourrait permettre à des logiciels malveillants de voler des informations d’identification que les acteurs malveillants peuvent utiliser pour violer le réseau interne d’une organisation.
Au total, il y a 27 vulnérabilités découvertes par SentinelOne, avec les ID CVE répertoriés ci-dessous :
CVE-2021-42972, CVE-2021-42973, CVE-2021-42976, CVE-2021-42977, CVE-2021-42979, CVE-2021-42980, CVE-2021-42983, CVE-2021-42986, CVE-2021-42987, CVE-2021-42988, CVE-2021-42990, CVE-2021-42993, CVE-2021-42994, CVE-2021-42996, CVE-2021-43000, CVE-2021-43002, CVE-2021-43003, CVE-2021-43006, CVE-2021-43637, CVE-2021-43638, CVE-2021-42681, CVE-2021-42682, CVE-2021-42683, CVE-2021-42685, CVE-2021-42686, CVE-2021-42687, CVE-2021-42688
Ces vulnérabilités ont été divulguées de manière responsable à Eltima, qui a déjà publié des correctifs pour les versions concernées. Cependant, il appartient désormais aux services cloud de mettre à niveau leur logiciel pour utiliser le SDK Eltima mis à jour.
Selon SentinelOne, les logiciels et plates-formes cloud concernés sont :
- Amazon Nimble Studio AMI, avant le 29/07/2021
- Amazon NICE DCV, ci-dessous : 2021.1.7744 (Windows), 2021.1.3560 (Linux), 2021.1.3590 (Mac), 2021/07/30
- Agent Amazon WorkSpaces, ci-dessous : v1.0.1.1537, 2021/07/31
- Version du client Amazon AppStream ci-dessous : 1.1.304, 2021/08/02
- Pas de machine [all products for Windows], au-dessus de la v4.0.346 en dessous de la v.7.7.4 (la v.6.x est également en cours de mise à jour)
- Accops HyWorks Client pour Windows : version v3.2.8.180 ou antérieure
- Accops HyWorks DVM Tools pour Windows : version 3.3.1.102 ou inférieure (fait partie du produit Accops HyWorks antérieur à la v3.3 R3)
- Eltima USB Network Gate inférieur à 9.2.2420 supérieur à 7.0.1370
- Amzetta zPortal Windows zClient
- Outils DVM Amzetta zPortal
- FlexiHub inférieur à 5.2.14094 (dernier) supérieur à 3.3.11481
- Donglify ci-dessous 1.7.14110 (dernier) ci-dessus 1.0.12309
Il est important de noter que Sentinel Labs n’a pas examiné tous les produits possibles qui pourraient incorporer le SDK Eltima vulnérable, il pourrait donc y avoir plus de produits affectés par l’ensemble de défauts.
En outre, certains services sont vulnérables côté client, d’autres côté serveur et quelques-uns des deux, en fonction des politiques de partage de code.
Se défendre contre ces vulnérabilités
Sentinel Labs précise qu’il n’a vu aucune preuve que les acteurs de la menace ont exploité ces vulnérabilités. Pourtant, maintenant qu’un rapport technique a été publié, nous verrons probablement une exploitation à l’avenir.
Par prudence, les administrateurs doivent révoquer les informations d’identification privilégiées avant d’appliquer les mises à jour de sécurité, et les journaux doivent être examinés à la recherche de signes d’activité suspecte.
La plupart des fournisseurs ont corrigé les défauts et les ont poussés à travers des mises à jour automatiques. Cependant, certains nécessitent une action de l’utilisateur final pour appliquer les mises à jour de sécurité, comme la mise à niveau de l’application cliente vers la dernière version disponible.
Vous trouverez ci-dessous une liste des correctifs publiés par différents fournisseurs :
- Amazon – Corrections publiées dans toutes les régions le 25 juin 2021
- Eltima – Corrections publiées le 6 septembre 2021
- Accops – Corrections publiées le 5 septembre 2021 et avis aux clients de mettre à niveau. De plus, utilitaire publié pour détecter les points de terminaison vulnérables le 4 décembre 2021
- Mechdyne – N’a pas encore répondu aux chercheurs
- Amzetta – Corrections publiées le 3 septembre 2021
- Pas de machine – Corrections publiées le 21 octobre 2021