Plate-forme CMS open source Directus corrige le bogue XSS

Une vulnérabilité XSS (Cross-Site Scripting) stockée dans le système de gestion de contenu (CMS) Directus largement utilisé pourrait entraîner une compromission de compte dans l’application d’administration du service si elle n’est pas rapidement atténuée, selon un nouvel avis du Centre de recherche en cybersécurité Synopsys (CyRC).

Découvert et signalé par David Johansson, chercheur au CyRC, CVE-2022-24814 affecte la version 9.6.0 et antérieure de Directus, qui est un framework Web open source utilisé pour gérer les bases de données SQL et connecter leur contenu via une interface de programmation d’application (API) à divers clients ou sites Web.

CVE-2022-24814 est similaire à deux problèmes signalés précédemment – CVE-2022-22116 et CVE-2022-22117 – et contourne une atténuation précédente implémentée pour ces bogues dans Directus 9.4.2. Il a reçu un score de base CVSS de 5,4, ce qui en fait un impact moyen.

En fin de compte, il permet à un utilisateur authentifié ayant accès à Directus d’abuser de sa fonctionnalité de téléchargement de fichiers pour créer une attaque XSS stockée qui s’exécute automatiquement lorsque d’autres utilisateurs affichent des collections ou des fichiers dans Directus.

« En raison de la nature des attaques XSS, les dommages potentiels dépendent en grande partie des privilèges de l’utilisateur ciblé », a déclaré Johansson. Dans le cas général, cela donnerait à l’attaquant la possibilité de compromettre le compte d’un autre utilisateur et d’effectuer des actions, telles que l’ajout ou la modification de données, qui sont attribuées à cet utilisateur à son insu ou sans son consentement.

« Dans le pire des cas, lorsqu’un utilisateur administrateur est affecté, l’acteur malveillant serait en mesure de voler toutes les informations contenues dans le système Directus, ainsi que de provoquer des perturbations en supprimant des données ou en modifiant la configuration du système. »

Johansson a déclaré à Computer Weekly qu’il n’avait vu aucune preuve d’exploitation active de la vulnérabilité, mais cela ne pouvait pas être exclu. « Les attaquants peuvent commencer à cibler des installations qui n’ont pas encore été mises à niveau, il est donc toujours conseillé de mettre à niveau dès que possible, même s’il n’y a aucune preuve solide d’exploitation active », a-t-il déclaré.

La vulnérabilité a été initialement révélée le 28 janvier 2022 et confirmée le 7 mars. Le 18 mars, Directus a publié la version 3.7.0, qui intègre un correctif pour CVE-2022-24814. Les utilisateurs qui n’ont pas encore mis à jour vers cette version doivent le faire. Synopsys a déclaré que Directus avait agi de manière réactive tout au long du processus et avait corrigé la vulnérabilité en temps opportun.

Bien qu’il ne soit en aucun cas aussi percutant que Log4Shell, qui a catapulté les problèmes liés aux outils open source et à leur utilisation au sein des organisations à la fin de 2021, CVE-2022-24814 provient finalement d’une source similaire.

La dernière divulgation d’un bogue dans une ressource open source largement utilisée qui sous-tend les composants essentiels du travail de nombreuses organisations souligne la nécessité pour les équipes de sécurité de comprendre précisément ce qui est utilisé par les équipes informatiques et de développement qu’elles sont chargées de protéger.

« Il y a eu beaucoup de discussions dans l’industrie sur la question de savoir si les outils open source ou propriétaires sont plus sécurisés ou sujets à des vulnérabilités, mais ce débat passe à côté de l’essentiel », a déclaré Greg Fitzgerald, cofondateur du spécialiste de la gestion des actifs informatiques Sevco Security.

« Quels que soient les types d’outils que vous utilisez, le plus grand risque pour les organisations est de perdre la trace de leur inventaire d’actifs informatiques. Les entreprises sont jonchées de déploiements oubliés ou abandonnés, et qu’il s’agisse d’open source ou de propriétaires, une seule instance non corrigée peut suffire à des acteurs malveillants pour prendre pied dans votre réseau.

« Afin de protéger l’intégralité de votre surface d’attaque, la priorité pour les équipes de sécurité doit être de créer et de maintenir un inventaire complet de chaque actif informatique qui touche le réseau. »

Johansson a ajouté: « Avant d’utiliser un nouveau composant logiciel, il devrait passer par une certaine forme d’évaluation des risques. Par exemple, s’il s’agit d’un composant logiciel open source, vous pouvez examiner l’activité de sa maintenance et examiner les délais et les réponses aux divulgations de vulnérabilités précédentes, le cas échéant.

« Pour avoir une meilleure idée des vulnérabilités potentielles, il peut être approprié d’effectuer des tests de sécurité du logiciel. En général, la quantité et la profondeur des tests nécessaires devraient être déterminées par l’impact potentiel. Par exemple, si le composant logiciel est utilisé dans une application stratégique, il peut justifier un examen de sécurité plus complet.

« Enfin, il est également important de garder une trace de tous les composants et versions logicielles utilisés au sein d’une organisation, afin d’avoir la possibilité de réagir rapidement lorsqu’une nouvelle vulnérabilité est révélée. Les outils d’analyse de la composition logicielle (SCA) peuvent aider à cet effort. »