Nouveau bulletin de sécurité pour cette fin Décembre qui relèvent 3 failles d’importance majeure sur l’interface indépendante IBM i Access Client Solutions. En effet il s’avère qu’ACS est vulnérable à l’exécution de code à distance et ne sécurise pas les mots de passe en raison de multiples vulnérabilités que vous pouvez retrouver en détails ici https://lnkd.in/gTXU668F.
Pour résumé la racine du problème IBM i Access Client Solutions est vulnérable à l’exécution de code à distance en raison d’une faille qui ne parvient pas à authentifier l’origine d’un objet sérialisé (CVE-2023-45185), et qui stocke de manière non sécurisée les mots de passe en permettant à la clé de cryptage du mot de passe d’être récupérée (CVE-2023-45184), à noter que cette clé peut être aussi décodée en utilisant une attaque par force brute (CVE-2023-45182).
On note 3 importantes failles dans la communication avec ACS et nous vous recommandons vivement de les prendre en compte :
– IBM i Access Client Solutions pourrait permettre à un attaquant d’obtenir une clé de décryptage en raison de vérifications d’autorité incorrectes, le score CVSS de cette faille est de 6.2 sur 10.
– IBM i Access Client Solutions est vulnérable au décodage de la clé d’un mot de passe crypté. En accédant d’une manière ou d’une autre au mot de passe chiffré, un attaquant local pourrait exploiter cette vulnérabilité pour obtenir le mot de passe d’autres systèmes, le score CVSS de cette faille est de 7.1 sur 10.
– IBM i Access Client Solutions pourrait permettre à un attaquant d’exécuter du code à distance. En raison de vérifications d’autorité incorrectes, l’attaquant pourrait effectuer des opérations sur le PC sous l’autorité de l’utilisateur, le score CVSS de cette faille est de 7.4 sur 10.
Afin de bloquer ces failles( fortement conseillé par IBM et nous-mêmes), il vous faut mettre à jour ACS avec la version 1.1.9.4 qui est la plus récente à ce jour.
Posté dans Alerte