Le flux de travail Fortra FileCatalyst est vulnérable à une vulnérabilité d'injection SQL qui pourrait permettre à des attaquants distants non authentifiés de créer des utilisateurs administrateurs malveillants et de manipuler des données sur la base de données de l'application.
FileCatalyst Workflow est une plate-forme Web d'échange et de partage de fichiers prenant en charge des fichiers de grande taille. Il est utilisé par des organisations du monde entier pour accélérer les transferts de données et collaborer dans des espaces cloud privés.
La vulnérabilité critique (CVSS v3.1 : 9.8), identifiée comme CVE-2024-5276, a été découverte le 18 juin 2024 par les chercheurs de Tenable, mais n'a été rendue publique qu'hier.
Fortra explique dans un bulletin de sécurité que la faille permet la création d'utilisateurs administrateurs et la manipulation de bases de données, mais que le vol de données n'est pas viable via cette faille.
« Une vulnérabilité d'injection SQL dans Fortra FileCatalyst Workflow permet à un attaquant de modifier les données de l'application », lit-on Bulletin Fortra.
« Les impacts probables incluent la création d'utilisateurs administratifs et la suppression ou la modification de données dans la base de données de l'application. L'exfiltration de données via l'injection SQL n'est pas possible avec cette vulnérabilité. »
La faille affecte FileCatalyst Workflow 5.1.6 Build 135 et les versions antérieures. Des correctifs ont été mis à disposition dans FileCatalyst Workflow 5.1.6 build 139, qui est la cible de mise à niveau recommandée pour les utilisateurs.
L'exploitation non authentifiée nécessite également que l'accès anonyme soit activé sur l'instance cible. Sinon, une authentification est requise pour exploiter CVE-2024-5276.
Exploit public disponible
Tenable a découvert CVE-2024-5276 le 15 mai 2024 et a divulgué le problème pour la première fois à Fortra le 22 mai, accompagné d'un exploit de preuve de concept (PoC) démontrant la vulnérabilité.
Parallèlement à la publication du bulletin de sécurité de Fortra, Tenable a publié son exploitmontrant comment un attaquant distant anonyme peut effectuer une injection SQL via le paramètre « jobID » dans divers points de terminaison d'URL de l'application Web Workflow.
Le problème est que la méthode « findJob » utilise un « jobID » fourni par l'utilisateur sans nettoyer l'entrée pour former la clause « WHERE » dans une requête SQL, permettant à un attaquant d'insérer du code malveillant.
Le script de Tenable se connecte de manière anonyme à l'application FileCatalyst Workflow et effectue une injection SQL via le paramètre « jobID » pour insérer un nouvel utilisateur administrateur (« opérateur ») avec un mot de passe connu (« mot de passe 123 »).
Finalement, il récupère le jeton de connexion et utilise les informations d’identification d’administrateur nouvellement créées pour se connecter au point de terminaison vulnérable.
Il n'y a eu aucun rapport faisant état d'une exploitation active du problème, mais la publication d'un exploit fonctionnel pourrait changer cela très prochainement.
Début 2023, le groupe de ransomwares Clop a exploité une vulnérabilité zero-day de Fortra GoAnywhere MFT, identifiée comme CVE-2023-0669, dans des attaques de vol de données pour faire chanter des centaines d'organisations utilisant le produit.
