Cronologia delle revisioni
- 1.0: 28 febbraio 2022: versione iniziale
Riepilogo
Come parte di una vulnerabilità segnalata in privato, Veritash ha individuato vulnerabilità di sicurezza con Veritas InfoScale Operations Manager (VIOM), come descritto di seguito.
| Problema | Descrizione | Gravità | Versioni corrette |
|---|---|---|---|
|
1 |
Neutralizzazione errata degli input durante la generazione di pagine Web ("Scripting tra siti riflesso") |
Media |
7.4.2, 8.0 |
|
2 |
Path traversal assoluto |
Media |
7.4.2, 8.0 |
Problema n. 1
Una vulnerabilità di scripting fra siti riflessa (XSS) consente a un utente VIOM malintenzionato di inserire script pericoloro nel browser di un altro utente. (CWE-79)
- ID CVE: CVE-2022-26483
- Gravità: media
- Punteggio base CVSS v3.1: 4.8 (AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N)
Riepilogo
La vulnerabilità di scripting fra siti riflessa (XSS) interessa l'applicazione Veritas Operations Manager, che consente a utenti malintenzionati remoti autenticati di inserire script o HTML Web arbitrari nel parametro HTTP/GET, cosa che riflette l'input dell'utente senza sanificazione.
L'applicazione Web Veritas Operations Manager non verifica correttamente i parametri inviati tramite i metodi GET inclusi nella risposta del server.
Prerequisiti
È necessario avere accesso all'applicazione Web come utente con ruolo amministrativo/root.
Endpoint interessati
Impatto sulla sicurezza
Sfruttando questa vulnerabilità, è possibile condurre attacchi di phishing contro utenti dell'applicazione Web Veritas Operations Manager.
Versioni interessate
Veritas InfoScale Operations Manager (VIOM) Management Server e Managed Host/Agent 8.0, 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1, 7.0. Potrebbero essere interessate anche versioni precedenti non supportate.
Problema n. 2
Una vulnerabilità path trasversal assoluta permette a un utente di ottenere accesso non autorizzato alle risorse sul server (CWE-36).
- ID CVE: CVE-2022-26484
- Gravità: media
- Punteggio base CVSS v3.1: 4.9 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)
Riepilogo
Il server Web non riesce a sanificare i dati di input, consentendo a un utente malintenzionato remoto autenticato di leggere file arbitrati sul sistema. Manipolando il nome della risorsa nelle richieste GET riferite a file con percorsi assoluti, è possibile accedere a file arbitrari archiviati sul file system, inclusi codici sorgente delle applicazioni, file di configurazione e file di sistema critici.
Prerequisiti
È necessario avere accesso all'applicazione Web come utente con ruolo amministrativo/root.
Endpoint interessati
Impatto sulla sicurezza
Sfruttando questa vulnerabilità sul server Web era possibile leggere qualsiasi file sul file system, dato che l'applicazione Web era in esecuzione con i privilegi dell'utente root.
Versioni interessate
Veritas InfoScale Operations Manager (VIOM) Management Server e Managed Host/Agent 8.0, 7.4.2, 7.4, 7.3.1, 7.3, 7.2, 7.1, 7.0. Potrebbero essere interessate anche versioni precedenti non supportate
Riparazione
I clienti con un contratto Maintenance attuale devono eseguire l'aggiornamento a una delle seguenti versioni e installare file binari dell'applicazione che risolvono questa vulnerabilità:
- 7.4.2 (vedere la technote: Veritas InfoScale Operations Manager 7.4.2 Patch 600)
- 8.0 (vedere la technote: Veritas InfoScale Operations Manager 8.0.0 Patch 100)
Cercare in Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads
Domande
Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT).
Riconoscimenti
Veritas desidera ringraziare Luca Carbone, Antonio Papa, Vincenzo Nigro e Massimiliano Brolli con TIM Security Red Team Research per averci informato di queste vulnerabilità.
Dichiarazione di non responsabilità
IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.
Veritas Technologies LLC,
2625 Augustine Drive,
Santa Clara, CA 95054