Logiciel de sauvegarde : Dell EMC AppSync peut être compromis

Dell EMC AppSync est le logiciel de gestion des systèmes de sauvegarde des grandes entreprises, qui permet de créer et de gérer des copies de sauvegarde non seulement des données des utilisateurs, mais aussi des machines virtuelles ou des bases de données SQL. Plusieurs failles de sécurité auraient permis à des pirates de s’emparer des sessions web des utilisateurs, de lancer des attaques par force brute sur les comptes des utilisateurs ou de tromper les utilisateurs en leur faisant cliquer sur certaines options.

Le logiciel EMC AppSync avait intégré des données sensibles dans des requêtes HTTP Get (CVE-2022-22551, CVSS 8.3, risque élevé). Ces données peuvent être des identifiants de session. Les informations transmises dans les requêtes HTTP-Get peuvent se retrouver dans des fichiers journaux, être transmises en tant que référent à des pages web appelées ultérieurement ou être espionnées par des utilisateurs du même réseau qui ne sont pas connectés à AppSync. S’il s’agit d’identifiants de session intégrés, les pirates pourraient par exemple prendre le contrôle de la session et modifier n’importe quel paramètre.

De plus, le logiciel n’a pas freiné correctement les tentatives de connexion excessives (CVE-2022-22553 CVSS 8.1, haut). Les pirates auraient ainsi pu lancer des attaques par force brute sur les données d’accès. En outre, les utilisateurs auraient pu cliquer involontairement sur des options, car une faille de clickjacking aurait permis aux pirates de placer des éléments HTML invisibles sur la page Web (CVE-2022-22552, CVSS 6.9, moyen).

D’autres vulnérabilités ont été introduites par des composants tiers. Ainsi, les paquets utilisés de RESTEasy et Simple-XML contenaient également des failles de sécurité. Dans l’ensemble, Dell estime que le risque de toutes les failles est élevé, de sorte que les attaquants pourraient compromettre les systèmes concernés.

Selon le message de sécurité de Dell, les systèmes AppSync EMC de la version 3.9 à 4.3 sont concernés. Les erreurs sont corrigées par la version actualisée 4.4.0.0, disponible sur une page de téléchargement de Dell, mais réservée aux utilisateurs disposant d’un compte dans l’entreprise. Les administrateurs et les responsables informatiques devraient installer rapidement la mise à jour.

Lire aussi

Page thématique sur la sauvegarde sur heise online

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici