Deux avis de sécurité Netapp du 22 mars 2024

Multiples bulletins de sécurité Netapp StorageGRID du 22 mars 2024

Deux avis de sécurité de NetApp corrigent les vulnérabilités CVE-2024-21983 et CVE-2024-21984 dans son produit StorageGRID. Celles-ci donnaient des possibilités à un attaquant d’intervenir à distance. L’exploitation de ces failles pourrait permettre d’injecter du code indirect (XSS) et de provoquer un déni de service (DDos). Une exploitation réussie de la vulnérabilité CVE-2024-21984 pourrait conduire à la divulgation d’informations sensibles ou à une modification non autorisée des données.


NetApp StorageGRID est une suite de stockage objet software-defined qui prend en charge un large éventail d'utilisations dans les environnements multiclouds publics, privés et hybrides. StorageGRID offre une prise en charge native de l'API Amazon S3 et propose des innovations de pointe, telles que la gestion automatisée du cycle de vie, pour stocker, sécuriser, protéger et conserver les données non structurées de manière économique pendant de longues périodes.

 

CVE-2024-21983: Concerne une vulnérabilité de déni de service dans StorageGRID. Certaines versions de StorageGRID sont sensibles à une vulnérabilité de déni de service (DoS). Un exploit réussi par un attaquant authentifié pourrait entraîner une condition de mémoire insuffisante ou un redémarrage du nœud. L’exploitation réussie de cette vulnérabilité pourrait conduire à un déni de service (DoS).

CVE-2024-21984: Concerne une vulnérabilité de script intersite dans StorageGRID. Certaines versions de StorageGRID sont sensibles à une vulnérabilité XSS difficile à exploiter. Un exploit réussi nécessite que l’attaquant connaisse des informations spécifiques sur l’instance cible et incite un utilisateur privilégié à cliquer sur un lien spécialement conçu. Cela pourrait permettre à l’attaquant d’afficher ou de modifier les paramètres de configuration ou d’ajouter ou de modifier des comptes d’utilisateurs. L’exploitation réussie de cette vulnérabilité pourrait conduire à la divulgation d’informations sensibles ou à une modification non autorisée des données.


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Le déni de service (DDoS) est une attaque malveillante visant à rendre un service indisponible pour les utilisateurs légitimes en submergeant le serveur ciblé avec un grand volume de trafic. Les attaquants exploitent souvent des réseaux de machines infectées par des logiciels malveillants, appelées botnets, pour coordonner ces attaques massives. Les conséquences du DDoS peuvent être graves, allant de la perturbation temporaire des services en ligne à des dommages financiers considérables pour les entreprises.

Pour se protéger contre de telles attaques par déni de service, les organisations doivent mettre en œuvre des solutions de détection et de mitigation efficaces ainsi que des plans de réponse aux incidents. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité de catégorie "Zero Day" ou l'absence de mises à jour automatiques.


La violation de données, un fléau informatique en expansion, représente la compromission non autorisée d'informations sensibles, telles que des données personnelles ou financières. Ces incidents surviennent souvent suite à des failles de sécurité dans les systèmes informatiques, permettant à des individus malveillants d'accéder, de voler ou de divulguer ces données.

Une violation de données est le rejet intentionnel ou non sécurisé de l'information au sein d'un environnement non sécurisé. Les autres termes de ce phénomène peuvent être la divulgation de l'information, la fuite de données et également le déversement de données.

Une violation de données est un incident de sécurité transmettant des données sensibles, protégées ou confidentielles, qui sont volées ou utilisées par une personne non autorisée à le faire. Le phishing et le scraping sont largement utilisés pour voler des informations à l'insu de l'internaute et de l'entreprise.

Les conséquences peuvent être dévastatrices, allant de la perte de confiance des clients à des dommages financiers considérables pour les entreprises. Pour prévenir de tels incidents, une vigilance constante, des mesures de sécurité robustes et une sensibilisation accrue aux risques sont essentielles dans le paysage numérique d'aujourd'hui..


Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


NetApp se présente comme une société proposant des solutions de sauvegarde, de gestion des données et d'intelligence artificielle. NetApp offre une expérience multi cloud hybride améliorée. Opérations unifiées. Built-in protection. Automatisez pour réduire les émissions de carbone et économiser. Propulsez votre cloud vers de nouveaux sommets grâce aux services NetApp de gestion et de stockage des données cloud conçus pour un monde multi cloud complexe. NetApp vous propose les options de formation et de certification techniques pratiques et flexibles dont vous avez besoin pour libérer votre potentiel organisationnel et personnel.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut