AlienVault corrige des vulnérabilités dans ses SIEM
AlienVault propose des correctifs pour ses plateformes de gestion des informations et des événements de sécurité, après qu’un chercheur y avait découvert plusieurs vulnérabilités.
AlienVault propose des correctifs pour ses plateformes de gestion des informations et des événements de sécurité, après qu’un chercheur y avait découvert plusieurs vulnérabilités.
La semaine passé, le chercheur Peter Lapp a détaillé ces vulnérabilités sur Full Disclosure. Parmi celles-ci, certaines affectent à la fois les plateformes Ossim (Open Source Security Information Management) et USM (gestion unifiée de la sécurité). La principale vulnérabilité permettait à des utilisateurs de transférer un fichier NBE spécifiquement formé dans l’interface d’Ossim/USM pour exploiter des vulnérabilités relevant du scripting inter-sites (XSS), de l’injection SQL, et de l’exécution de commandes à distance.
L’exploitation de ces vulnérabilités nécessitait une authentification dans l’interface utilisateur, mais pas les droits d’administration. AlienVault a confirmé ces vulnérabilités au sein des interfaces utilisateur de ses deux plateformes et annoncé la préparation d’un correctif sur son forum. Celui-ci est donc désormais disponible.
Peter Lapp n’a pas testé la version Cloud d’USM. Mais pour lui, la vulnérabilité devrait également y être présente parce qu’elle affecte l’interface Web de la plateforme : « la seule différence que je connaisse entre les deux versions est le déploiement, pas le logiciel ; les deux devraient donc être affectées ».
Et d’affirmer avoir notifié AlienVault de ces vulnérabilités dès le 12 janvier dernier. L’éditeur aurait d’ailleurs confirmé le même jour. Peter Lapp a alors patienté trois mois avant de prendre des nouvelles d’une éventuelle mise à jour. En vain. Et AlienVault a lancé la version 5.0 de ses produits le 20 avril dernier sans inclure de correctif pour les vulnérabilités.
« L’éditeur a été prévenu il y a près de 5 mois au sujet de ces vulnérabilités », indique Lapp dans son billet les révélant. « Puisqu’ils n’ont pas répondu à mes récentes demandes d’information, et lancé une nouvelle version majeure sans corriger des problèmes, j’ai décidé de publier les détails ».
De son côté, AlienVault a indiqué que le délai de prise en charge de ces vulnérabilités – au-delà de la traditionnelle fenêtre de 90 jours – était une erreur de sa part : « malheureusement, un incident de communication nous a empêchés de répondre à Peter Lapp et de suivre notre processus […] Nous avons révisé entièrement et mis à jour nos processus pour que cela ne se reproduise pas ».
Et Peter Lapp tend à abonder dans ce sens : « j’étais plutôt surpris que les correctifs mettent tant de temps à arriver. D’autant plus que j’avais déjà rapporté une autre vulnérabilité un peu plus tôt et qu’elle avait été corrigée rapidement. Elle était toutefois un peu plus sévère. Mais j’étais vraiment surprise lorsque la version 5.0 est sortie, comportant encore les vulnérabilités. C’est pour cela que j’ai décidé de communiquer ».