Vulnérabilité critique dans Wallix AdminBastion

Date de publication :

Une vulnérabilité critique dans la solution Wallix AdminBastion a été dévoilée par l'éditeur Wallix. La solution utilise la librairie libssh, qui est affectée par une vulnérabilité critique, la CVE-2018-10933 [CVSS v3 9.1], découverte le 16 octobre. Ainsi, un attaquant pourrait se connecter au Wallix AdminBastion en présentant le message SSH2_MSG_USERAUTH_SUCCESS.

La solution Wallix AdminBastion permet de sécuriser, restreindre et tracer l'activité des administrateurs. Ces derniers se connectent sur le bastion de manière sécurisée mais non privilégiée, ce qui leur permet de rebondir sur un compte privilégié au sein du système administré sans en connaître les secrets.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques
  • Atteinte à la confidentialité des données
  • Élévation de privilèges
  • Exécution de code arbitraire

Systèmes ou composants affectés

  • Wallix AdminBastion version 6 jusqu'à la version "HotFix 12"
  • Wallix AdminBastion version 5 jusqu'à la version "HotFix 24"
  • Wallix AdminBastion versions antérieures

Contournement provisoire

En cas d'impossibilité de mise à jour de manière rapide, il est nécessaire de filtrer l'accès à ce service aux seuls administrateurs, de changer le mode d'authentification SSH (l'authentification par mot de passe ou X509 ne sont pas vulnérables), et d'archiver les clés publiques des comptes utilisateurs. Une évaluation des risques doit être conduite pour envisager une désactivation immédiate du bastion et l'utilisation de moyens dégradés pour l'administration.

Solutions ou recommandations

Rechercher une exploitation éventuelle de la vulnérabilité : les événements suivants peuvent être observés dans les journaux produits par le bastion :

Extrait de logs

Il est recommandé de mettre à jour rapidement le produit avec les dernières versions disponibles sur le site de téléchargement de Wallix.