NOVEMBRE 2024
CVE-2024-XXXXX – Bypass dell’account utente disabilitato/scaduto
È stata scoperta una vulnerabilità CRITICA (valutata 9.1: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L) in WALLIX Bastion e WALLIX Access Manager. È stato richiesto un numero CVE, attualmente in attesa di assegnazione.
Sommario
|
Prodotto
|
Caratteristica
|
Dettagli sulla vulnerabilità
|
Impatto
|
Come verificare se utilizzo questa funzione
|
|
Bastione WALLIX
|
Autenticazione utente con chiave SSH memorizzata in LDAP o Active Directory
|
WALLIX Bastion non controlla i flag Scaduto o Disattivato.
|
L’utente può autenticarsi sul WALLIX Bastion e accedere ai propri obiettivi SSH.
|
In Configurazione > Domini di autenticazione > Active Directory o LDAP, l’attributo della chiave pubblica SSH è definito
|
|
Bastione WALLIX
|
Autenticazione degli utenti con certificato X.509 memorizzato in LDAP o Active Directory
|
WALLIX Bastion non controlla i flag Scaduto o Disattivato.
|
L’utente può essere in grado di autenticarsi sulla GUI di WALLIX Bastion e di accedere ai propri obiettivi.
|
Entrambe le condizioni sotto riportate sono valide:
|
|
WALLIX Access Manager
|
Autenticazione dell’utente con certificato X.509 memorizzato in Active Directory
|
WALLIX Access Manager non controlla i flag Scaduto.
|
L’utente può essere in grado di autenticarsi sulla GUI di WALLIX Access Manager e di accedere ai propri obiettivi.
|
Nell’organizzazione globale, Configurazione > Domini > Seleziona dominio LDAP, Consenti X509 Cert. Autenticazione è controllato
|
Nota: WALLIX Access Manager non supporta l’autenticazione degli utenti con certificati X.509 memorizzati in LDAP.
Nota: WALLIX Access Manager non consente l’autenticazione dell’utente con la chiave SSH.
Nota: le credenziali dell’utente (chiave privata SSH o chiave privata X.509 associata al certificato) devono essere valide.
WALLIX consiglia di applicare immediatamente le correzioni pubblicate o, prima di applicarle, di adottare i rimedi descritti di seguito.
Prodotti interessati
Bastion:
-
Sono incluse tutte le versioni di WALLIX Bastion 12.0 fino alla 12.0.3
-
Tutti i prodotti WALLIX Bastion 11.0
-
Tutti i WALLIX Bastion 10.1, 10.2, 10.3, 10.4
-
Tutti i WALLIX Bastion 10.0 fino a 10.0.9 inclusi
-
Tutti i WALLIX Bastion 9.0, 9.1
-
Tutti i WALLIX Bastion precedenti potrebbero essere interessati da questo problema.
Access Manager:
-
WALLIX Access Manager 5.1.0
-
Tutte le versioni di WALLIX Access Manager 5.0
-
Tutte le versioni di WALLIX Access Manager 4.4
-
Sono incluse tutte le versioni di WALLIX Access Manager 4.0 fino alla 4.0.7
-
Tutti i precedenti WALLIX Access Manager potrebbero essere interessati da questo problema
Indicatore di compromesso
Controlla il registro di autenticazione su WALLIX Bastion e WALLIX Access Manager per assicurarti che non siano stati utilizzati account disabilitati o scaduti.
Soluzioni
Account scaduto e disabilitato:
Per WALLIX Bastion e WALLIX Access Manager, rimuovi la chiave SSH o l’hash del certificato memorizzati nell’account utente di Active Directory o LDAP.
Il certificato X.509 può essere revocato anche se le CRL sono configurate correttamente in WALLIX Bastion e WALLIX Access Manager.
Solo per gli account disabilitati:
Se non puoi rimuovere le chiavi SSH o il certificato X.509 all’interno di Active Directory:
-
WALLIX Bastion, vai su Configurazione > Opzioni di configurazione > Globale > (Opzioni avanzate) > Attributi Ldap e aggiungili:
-
“userAccountControl” per Active Directory
-
“krbPasswordExpiration” per FreeIPA.
-
-
WALLIX Access Manager non è affetto da questa vulnerabilità.
Software fisso
-
WALLIX Bastion 12.0.4, disponibile ora https://updates.wallix.com/bastion/bastion-12.0.4.iso
-
WALLIX Access Manager 5.1.1, disponibile ora https://updates.wallix.com/accessmanager/accessmanager-5.1.1.1.iso
-
WALLIX Bastion 10.0.10, disponibile dal 22 novembre
-
WALLIX Access Manager 4.0.8, disponibile dal 22 novembre
Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso.
Tuttavia, si consiglia di verificare qualsiasi attività anomala sui Bastioni WALLIX.
DICEMBRE 2023
Potenziale divulgazione di informazioni sensibili CVE-2023-49961
SINTESI È stata scoperta una vulnerabilità nei prodotti WALLIX che potrebbe consentire a un aggressore di accedere a informazioni sensibili. L’aggressore potrebbe sfruttare questa vulnerabilità per ottenere accessi illegittimi. WALLIX raccomanda di applicare immediatamente le correzioni pubblicate o, prima di applicarle, il workaround descritto di seguito. Prodotti interessati Tutte le versioni supportate di WALLIX Bastion e Access Manager come appliance. Soluzioni Il seguente articolo della nostra knowledge base fornisce la procedura di mitigazione.
- Access Manager come dispositivo: https://wallix.lightning.force.com/lightning/r/Knowledge__kav/ka0Sb00000007O5IAI/view
- Bastione: https://wallix.lightning.force.com/lightning/r/Knowledge__kav/ka0Sb00000005irIAA/view
Le versioni fisse dei software hotfix e le patch sono disponibili sul nostro portale di download:
-
Bastion 9.0.9 : https://cloud.wallix.com/index.php/s/DBkJWdtsPjW7BSn (SHA256: dc5e3fda310a94cd54835800718cc1ec02084a126f79c82dde465eff40d698a4 )
-
Bastion 10.0.5 : https://cloud.wallix.com/index.php/s/PYjdncJSTaEBRSg (SHA256: 65cdc9b49dfa2160a4a8489fd1c61cad1a48444dbb86cb4a9ac0f4ff527d1197 )
Sfruttamento e annunci pubblici WALLIX non è a conoscenza di annunci pubblici o di un uso malevolo della vulnerabilità descritta in questo avviso.
Tuttavia, si raccomanda di verificare qualsiasi attività anomala su WALLIX Bastion e WALLIX Access Manager.
Si raccomanda inoltre di assicurarsi che il firewall di Bastion e Access Manager sia abilitato.
FEBBRAIO 2023
Escalation dei privilegi di Access Manager CVE-2023-23592
Febbraio 2023Escalation dei privilegi di Access Manager CVE-2023-23592SOMMARIO
È stata scoperta una vulnerabilità nel prodotto WALLIX Access Manager che potrebbe consentire a un utente malintenzionato di accedere a informazioni sensibili. L’utente malintenzionato potrebbe sfruttare questa vulnerabilità per ottenere accessi illegittimi. WALLIX consiglia di applicare immediatamente le correzioni pubblicate o, prima di applicarle, il workaround descritto di seguito.Prodotti interessatiTutte le versioni di WALLIX Access Manager.Soluzioni Il seguente articolo della nostra knowledge base fornisce la procedura di workaround. https://support.wallix.com/s/article/How-can-I-mitigate-CVE-2023-23592
Software fissoLe versioni hotfix sono disponibili sul nostro portale di download: – Versione 3.0.16 – Versione 4.0.3Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso. Tuttavia, si raccomanda di verificare qualsiasi attività anomala sui Bastioni WALLIX collegati a WALLIX Access Manager. In particolare, si raccomanda di cercare IP insoliti utilizzati da utenti privilegiati che potrebbero essere utilizzati da più account utente.
FonteControlli di sicurezza interni
DICEMBRE 2021
Vulnerabilità dell’esecuzione di codice remoto di Log4J (CVE-2021-44228)
SINTESI Il team di sicurezza di Alibaba Cloud ha pubblicato una vulnerabilità in log4j, una comune libreria di logging Java, il 9 dicembre 2021. (CVE-2021-44228) Questa vulnerabilità consente l’esecuzione di codice remoto non autenticato sulle applicazioni Java. Prodotti interessati Tutte le versioni di WALLIX Access Manager Soluzioni La configurazione predefinita di WALLIX Access Manager impedisce di sfruttare la suddetta vulnerabilità nel campo di login. Tuttavia, per evitare la possibilità di trovare un exploit in caso di modifica della configurazione predefinita di WALLIX Access Manager, il team di WALLIX propone una patch che disattiva la classe difettosa della libreria log4j. Questa patch si applica a tutte le versioni di Access Manager a partire dalla versione 2.0. Il seguente articolo della nostra knowledge base ti fornisce l’accesso alla patch e la procedura per installarla. https://support.wallix.com/s/article/CVE-2021-44228-Mitigation-procedureFixed Software È previsto un aggiornamento della versione di Log4J insieme alla versione 3.0.11 di Access Manager. Il rilascio di questa versione è previsto per la fine di dicembre 2021. Sfruttamento e annunci pubblici WALLIX non è a conoscenza di annunci pubblici o di un uso malevolo della vulnerabilità descritta in questo avviso. Tuttavia, si raccomanda di verificare qualsiasi attività anomala sui Bastioni WALLIX collegati a WALLIX Access Manager. In particolare si consiglia di verificare la creazione di nuovi utenti o autorizzazioni, soprattutto dopo la pubblicazione del CVE Source Alibaba Cloud Security Team ha pubblicato una vulnerabilità in log4j, una comune libreria di logging Java, il 9 dicembre 2021. (CVE-2021-44228)
GENNAIO 2021
Escalation dei privilegi di Sudo nei prodotti WALLIX – CVE-2021-3156
SOMMARIO
Il team di ricerca di Qualys ha scoperto una vulnerabilità di heap overflow in sudo (CVE-2021-3156); qualsiasi utente locale non privilegiato può ottenere i privilegi di root su un host vulnerabile utilizzando una configurazione predefinita di sudo sfruttando questa vulnerabilità. sudo può essere sfruttato solo localmente. Ciò significa che o :
- L’utente è collegato al WALLIX Bastion, attraverso l’account wabadmin, sull’interfaccia di amministrazione. Questo utente può quindi sfruttare sudo per diventare root e aggirare tutte le protezioni di WALLIX Bastion.
- Esiste una vulnerabilità RCE (Remote Code Exploitation) in un altro software WALLIX o di terze parti, che fornisce una shell locale. Dopo aver sfruttato con successo questa vulnerabilità, l’attaccante sarà in grado di sfruttare sudo per diventare root. A conoscenza di WALLIX, un Bastion aggiornato non presenta tale vulnerabilità.
Prodotti interessati
- Tutte le versioni precedenti a WALLIX Bastion 8.0.6 (inclusa)
- Tutte le versioni 8.1 e 8.2
Soluzioni
Non esiste una soluzione a questa vulnerabilità.
Software fisso
Questa vulnerabilità è stata risolta a partire dalla versione 8.0.7 e 7.0.14 di WALLIX Bastion.
- Per la versione 8.0.6 e precedenti è disponibile una patch di correzione (valida per le versioni 8.1 e 8.2).
- È disponibile una patch di correzione per la versione 7.0.13 e precedenti.
Questi elementi sono disponibili sul nostro sito di download: Supporto WALLIX: Patch
Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso.
Fonte
Il 26 gennaio 2021, Qualys ha reso pubblica questa vulnerabilità in un bollettino di sicurezza al seguente link: https://blog.qualys.com
SUPPORTO E SERVIZI WALLIX
SEGUICI
