Progress Software a corrigé une vulnérabilité critique (CVE-2024-6327) dans sa solution Telerik Report Server et exhorte les utilisateurs à effectuer la mise à niveau dès que possible.
À propos de CVE-2024-6327 (et CVE-2024-6096)
Serveur de rapports Telerik est une solution d’entreprise permettant de stocker, créer, gérer et afficher des rapports dans des applications Web et de bureau.
CVE-2024-6327 est une vulnérabilité de désérialisation non sécurisée (données non fiables) qui peut permettre aux attaquants d’exécuter du code à distance sur le serveur sous-jacent via CVE-2024-6096, une vulnérabilité de résolution de type non sécurisée qui affecte Reportage Telerikun outil permettant de créer des rapports et de les ajouter à des applications Web et de bureau.
CVE-2024-6096 permet une attaque par injection d’objet. Cela a été rapporté par Markus Wulftange de CODE WHITE GmbH.
Les deux vulnérabilités ont été corrigées et Progress Software a révélé publiquement leur existence mercredi.
Ce qu’il faut faire?
Il a été conseillé aux clients de passer à Telerik Reporting 2024 Q2 (v18.1.24.709), car c’est le seul moyen de supprimer CVE-2024-6096, et de mettre à niveau vers Telerik Report Server 2024 Q2 (10.1.24.709) ou version ultérieure pour corriger CVE-2024-6327.
Si cette dernière action n’est pas possible, Progress Software note que les utilisateurs « peuvent temporairement atténuer ce problème en remplaçant l’utilisateur du pool d’applications du serveur de rapports par un utilisateur doté d’autorisations limitées ».
Il n’y a aucune mention des vulnérabilités exploitées dans la nature et aucun PoC connu n’est disponible pour le moment, mais les solutions de Progress Software sont souvent ciblées par les attaquants.
Nous nous souvenons tous des conséquences désastreuses des attaquants de ransomware exploitant un jour zéro dans la solution de transfert de fichiers MOVEit de Progress Software. Mais avant cela, diverses vulnérabilités de l’interface utilisateur Telerik de la société, une bibliothèque de composants d’interface utilisateur populaire pour les applications Web .NET, avaient été utilisées par des attaquants pour installer des shells Web.
Et le mois dernier, la Shadowserver Foundation a repéré des tentatives d’exploitation de CVE-2024-4358, une vulnérabilité qui, lorsqu’elle était concaténée avec CVE-2024-1800, permettait aux attaquants d’exécuter du code à distance non authentifié sur les serveurs de rapports Progress Telerik.
Alors faites évoluer vos installations rapidement !