Multiples vulnérabilités dans EyesOfNetwork
Date de publication :
De multiples vulnérabilités ont été découvertes dans EyesOfNetwork, un outil de supervision systèmes et réseaux distribué avec un système d’exploitation dédié de type Linux. Ces vulnérabilités permettent à un attaquant de compromettre la confidentialité de la base de données de l’outil, ainsi que réaliser un déni de service sur le service SQL de la machine.
CVE-2020-8656 [Score CVSS v3 : 9.8] : Une vulnérabilité de type injection SQL a été découverte dans l’API de EyesOfNetwork. Un attaquant pouvant envoyer des requêtes HTTP à la machine et exploitant cette faille pourrait obtenir des informations sensibles stockées dans la base de données de l’outil, ainsi que conduire à une situation de déni de service en insérant une directive sleep() mettant en pause le processus pour une durée indéterminée.
CVE-2020-8657 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à des paramètres prédictibles a été découverte dans l’API de EyesOfNetwork. La clé d’accès à l’API par défaut restant inchangée après installation du service, un attaquant peut utiliser cette particularité pour deviner la valeur du jeton d’authentification administrateur à l’API, accédant ainsi à des fonctionnalités et informations sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Fuite de données sensibles contenues dans la base de données du service
- Accès non-légitime à des fonctionnalités administratives
- Déni de service
Criticité
- Score CVSS v3 : En cours de calcul
Existence d’un code d’exploitation
- Aucun code d’exploitation disponible publiquement à ce jour. Des informations suffisamment détaillées peuvent cependant être trouvées sur le dépôt de code source du service
Composants vulnérables
- EyesOfNetwork avec API dans une version inférieure à 2.0-2
CVE
- CVE-2020-8654
- CVE-2020-8655
- CVE-2020-8656
- CVE-2020-8657
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour EyesOfNetwork API à la version 2.0-2
Solution de contournement
- Aucune solution de contournement n’est disponible