Plusieurs failles de haute gravité ont été découvertes dans le serveur Web open source OpenLiteSpeed ainsi que dans sa variante d’entreprise qui pourrait être militarisée pour réaliser l’exécution de code à distance.
« En enchaînant et en exploitant les vulnérabilités, les adversaires pourraient compromettre le serveur Web et obtenir une exécution de code à distance entièrement privilégiée », Palo Alto Networks Unit 42 a dit dans un rapport jeudi.
OpenLiteSpeedl’édition open source de LiteSpeed Web Server, est le sixième serveur Web le plus populaire, représentant 1,9 million de serveurs uniques à travers le monde.
La première des trois failles est une faille de traversée de répertoire (CVE-2022-0072score CVSS : 5,8), qui pourrait être exploitée pour accéder à des fichiers interdits dans le répertoire racine du web.
Les deux vulnérabilités restantes (CVE-2022-0073 et CVE-2022-0074scores CVSS : 8,8) concernent un cas d’élévation de privilèges et d’injection de commandes, respectivement, qui pourraient être chaînés pour obtenir une exécution de code privilégiée.
« Un acteur malveillant qui a réussi à obtenir les informations d’identification du tableau de bord, que ce soit par des attaques par force brute ou par ingénierie sociale, pourrait exploiter la vulnérabilité afin d’exécuter du code sur le serveur », ont déclaré les chercheurs de l’unité 42 Artur Avetisyan, Aviv Sasson, Ariel Zelivansky, et Nathaniel Quist a déclaré à propos de CVE-2022-0073.
Plusieurs versions d’OpenLiteSpeed (de 1.5.11 à 1.7.16) et de LiteSpeed (de 5.4.6 à 6.0.11) sont affectées par les problèmes, qui ont été résolus dans les versions 1.7.16.1 et 6.0.12 suite à la divulgation responsable du 4 octobre 2022.