Faille critique exploitée dans GeoSolutionsGroup JAI-EXT

La CISA met en garde sur l’exploitation d’une vulnérabilité d’injection de code GeoSolutionsGroup JAI-EXT.


Le 26 juin 2024, la Cybersecurity and Infrastructure Security Agency (CISA) a émis une alerte concernant l’exploitation active d’une vulnérabilité critique, identifiée sous le code CVE-2022-24816.

Cette vulnérabilité concerne le projet JAI-EXT, un projet open source visant à étendre l’API Java Advanced Imaging (JAI).

Description de la vulnérabilité

Selon la mise à jour du National Institute of Standards and Technology (NIST) du 29 mai 2024, la vulnérabilité CVE-2022-24816 permettrait une injection de code, pouvant conduire à une exécution de code à distance. En effet, les programmes capables de fournir un script Jiffle via une requête réseau peuvent compiler ce script en code Java via Janino et l’exécuter. Cela affecte notamment le projet GeoServer en aval.

Détails techniques

La vulnérabilité permet à un attaquant d’injecter du code malveillant dans le script Jiffle, qui est ensuite compilé et exécuté par le moteur Janino. Ce processus peut être exploité pour exécuter des commandes arbitraires sur le serveur cible, compromettant ainsi la sécurité de l’application et des données qu’elle gère.

Cette vulnérabilité a été classée avec un score de gravité critique, atteignant un score de base CVSS de 9,8/10 et de 10/10 par CNA GitHub. Elle affecte un composant open source largement utilisé, ce qui accroît le risque de propagation et d’impact sur de nombreux produits et services qui dépendent de cette bibliothèque tierce.

Versions affectées et correctif

La version vulnérable de JAI-EXT est la version antérieure à 1.2.22. La version 1.2.22, récemment publiée, contient un correctif désactivant la possibilité d’injecter du code malveillant dans les scripts Jiffle compilés. Pour ceux qui ne peuvent pas mettre à jour immédiatement, il est recommandé de supprimer le fichier janino-xyzjar du classpath de l’application finale pour empêcher la compilation de scripts Jiffle.

Recommandations de la CISA

La CISA a émis des recommandations claires à suivre avant la date d’échéance du 17 juillet 2024 :

Appliquer les mesures d’atténuation : Suivez les instructions fournies par le fournisseur pour atténuer cette vulnérabilité.
Arrêter d’utiliser le produit : Si les mesures d’atténuation ne sont pas disponibles, il est conseillé de cesser l’utilisation du produit affecté.

Conclusion

Bien que la CISA n’ait pas connaissance de l’utilisation de cette vulnérabilité dans des campagnes de ransomware, son exploitation active dans la nature pose un risque significatif. Il est crucial pour les organisations de prioriser la gestion de cette vulnérabilité en utilisant le catalogue KEV comme référence. La mise à jour vers la version corrigée 1.2.22 de JAI-EXT ou la mise en œuvre des mesures d’atténuation recommandées est essentielle pour protéger les systèmes et les données contre les attaques potentielles.

Pour plus d’informations, consultez les avis officiels de la CISA et du NIST, et assurez-vous de suivre les meilleures pratiques de gestion des vulnérabilités pour minimiser les risques de sécurité dans votre organisation.

A propos de l'auteur

Retour en haut