Vulnérabilités d’exécution de code à distance dans Veritas Enterprise Vault

Historique des révisions

• 1.0 : 15 novembre 2024 : Version initiale

Résumé

Veritas a découvert un problème qui empêchait Veritas Enterprise Vault d’autoriser l’exécution de code à distance sur un serveur Enterprise Vault vulnérable.

Problème

• Identifiant CVE : voir ci-dessus
• Sévérité : Critique
• CVSS v3.1 Score de base 9.8 (AV :N/AC :L/PR :N/UI :N/S :U/C :H/I :H/A :H)

Au démarrage, l’application Enterprise Vault démarre plusieurs services qui écoutent sur des ports.NET Remoting TCP  aléatoires pour d’éventuelles commandes provenant d’applications clientes. Ces ports TCP peuvent être exploités en raison de vulnérabilités inhérentes au service de communication à distance .NET. Un attaquant malveillant peut exploiter à la fois les services de communication à distance TCP et les services IPC locaux sur Enterprise Vault Server.

Cette vulnérabilité affecte le serveur Enterprise Vault si et seulement si toutes les conditions préalables suivantes sont remplies :

• L’attaquant malveillant dispose d’un accès RDP à l’une des machines virtuelles du réseau. Pour avoir accès à RDP, l’attaquant doit faire partie du groupe Utilisateurs du bureau à distance (Remote Desktop Users).
• L’attaquant malveillant connaît l’adresse IP du serveur EV, les ID de processus EV (aléatoires), les ports dynamiques TCP EV (aléatoires), les URI d’objets EVaccéssibles à distance.
• Le pare-feu sur le serveur EV n’est pas correctement configuré

Cette vulnérabilité pourrait permettre l’exécution de code à distance si un attaquant envoie des données spécialement conçues à un serveur EV vulnérable.

Versions affectées

Toutes les versions actuellement prises en charge d’Enterprise Vault : 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.2, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0 Les versions antérieures non prises en charge peuvent également être affectées.

Atténuation

Le serveur Enterprise Vault peut être protégé contre de ces attaques .NET Remoting en appliquant les instructions suivantes :

• Assurez-vous que seuls les administrateurs EV ont accès au serveur Enterprise Vault, comme décrit dans la section Guide de l’administrateur d’Enterprise Vault.
  • Voir Gestion de la sécurité de l’administrateur
• Assurez-vous que seuls les utilisateurs de confiance font partie du groupe Utilisateurs Bureau à distance et qu’ils ont un accès RDP au serveur Enterprise Vault.
• Assurez-vous que le pare-feu du serveur Enterprise Vault est activé et correctement configuré comme décrit dans la section Guide de l’administrateur d’Enterprise Vault
  • Voir: Paramètres de pare-feu pour les programmes Enterprise Vault
• Assurez-vous que les dernières mises à jour de Windows ont été installées sur le serveur Enterprise Vault.

Veritas prévoit de corriger ces vulnérabilités dans Enterprise Vault 15.2, avec une disponibilité générale attendue au troisième trimestre de l’année calendaire 2025.

Questions

Pour toute question ou problème concernant ces vulnérabilités, veuillez contacter le support technique de Veritas (https://www.veritas.com/support)

Reconnaissance

Veritas tient à remercier Sina Kheirkhah, qui travaille avec le programme Zero Day Initiative (ZDI) de Trend Micro, de nous avoir informés de ces vulnérabilités.

Clause de non-responsabilité

L’AVIS DE SÉCURITÉ EST FOURNI « TEL QUEL » ET TOUTES LES CONDITIONS, DÉCLARATIONS ET GARANTIES EXPRESSES OU IMPLICITES, Y COMPRIS TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU D’ABSENCE DE CONTREFAÇON, SONT EXCLUES, SAUF DANS LA MESURE OÙ CES EXCLUSIONS SONT JUGÉES JURIDIQUEMENT INVALIDES. VERITAS TECHNOLOGIES LLC NE SERA PAS RESPONSABLE DES DOMMAGES ACCESSOIRES OU CONSÉCUTIFS LIÉS À LA FOURNITURE, À LA PERFORMANCE OU À L’UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUSCEPTIBLES D’ÊTRE MODIFIÉES SANS PRÉAVIS.

Veritas Technologies LLC
2625, promenade Augustine
Santa Clara, Californie 95054