ADVISORY: Unauthenticated Remote Code Execution sur DenyAll Web Application Firewall

Le 19 septembre 2017, une vulnérabilité d’execution de commande à distance (RCE) affectant DenyAll Web Application Firewall a été reportée par le pentester Mehmet Ince sur son blog, lire l’article. Cette vulnérabilité permet d’exécuter du code à distance (RCE) au travers de l’interface d’administration du WAF sans authentification requise. Pour prévenir cette attaque, nous recommandons de restreindre l’accès à l’interface d’administration du WAF (port 3001/tcp) aux administrateurs uniquement (par filtrage d’IP source ou interface d’admin sur VLAN dédié).

Détails de la vulnérabilité

La vulnérabilité permet à un attaquant d’exécuter des commandes Shell à distance à travers l’API PHP tournant sur l’interface d’administration (port 3001/tcp) du WAF.

Mehmet Ince a trouvé cette vulnérabilité en instanciant DenyAll WAF v6.3 sur AWS, puis en accédant au code de l’API PHP via le système de fichiers et en identifiant une combinaison de deux failles (contournement de l’authentification par token et injection de paramètre). Plus de détails sont fournis sur son post.

Quels produits DenyAll sont impactés ?

Cette vulnérabilité touche toutes les versions actuellement publiées de i-Suite et DenyAll WAF, qu’elles soient installées « on premise » ou sur les clouds AWS ou Azure :

  • i-Suite LTS version 5.5 (5.5.0 à 5.5.12)
  • i-Suite 5.6
  • DenyAll WAF 5.7
  • DenyAll WAF 6.0 à 6.4.0.

Corriger la vulnérabilité

Les hotfixes de sécurité (RSE) sont en train d’être publiés et mis à disposition sur le portail du support client (https://my.denyall.com) pour les versions suivantes : 6.4.0, 6.3.0, 5.5.4, 5.5.10, 5.5.12 et 5.5.6.

Cette vulnérabilité sera également corrigée en version 6.4.1 en cours de test (et qui remplacera la version 6.4.0).

Enfin, la version 6.5.0 bénéficiera d’améliorations substantielles de sécurité, avec notamment l’obfuscation des classes PHP sensibles et l’encapsulation des exécutions de command (shell exec).

Nous vous recommandons fortement de restreindre l’accès à l’interface d’administration (port 3001/tcp) aux administrateurs uniquement. Ceci peut être réalisé en limitant l’accès à ce port aux IP source des administrateurs (règle de firewall) ou – mieux – en assignant l’administration du WAF à une interface dédiée sur un VLAN d’administration séparé des interfaces réseau traitant le trafic. Pour plus de détails, nous vous invitons à contacter l’équipe support de DenyAll.

Vincent Maury, Chief Technology Officer on LinkedinVincent Maury, Chief Technology Officer on Twitter
Vincent Maury, Chief Technology Officer
Vincent est notre directeur technique bien aimé. C’est un entrepreneur né et un passionné de la sécurité. Les produits et services qu’il développe ont tous 1# commun : faire en sorte que les utilisateurs puissent protéger leur actifs informatiques de la manière la plus simple possible.

En continuant à naviguer sur notre site Web, vous acceptez l'utilisation de cookies pour : (i) le fonctionnement et l'interactivité de notre site, (ii) la mesure de l'audience de notre site et l'analyse de votre navigation. Pour de plus amples informations, veuillez consulter notre Politique de cookies. En savoir plus

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close