Vulnérabilités dans GravityZone de Bitdefender

Date de publication :

GravityZone est un produit de protection informatique qui intègre la gestion des risques et l'analyse des vulnérabilités. L’entreprise Bitdefender a publié deux vulnérabilités concernant ce produit.

CVE-2021-3959[Score CVSS v3.1 : en cours de calcul]
A cause d’un contrôle insuffisant des données, il est possible pour un attaquant de falsifier des requêtes (via une attaque de type SSRF pour  Server Side Request Forgery) afin d’exécuter des actions malicieuses sur le serveur relais de Bitdefender. Le point d’entrée utilisé par l’attaquant est le service EPPUpdateService présent dans l’outil Endpoint Security Tool de GravityZone.

 

CVE-2021-3960[Score CVSS v3.1: 7.1]
UpdateServer effectue un contrôle insuffisant des données entrées par l'utilisateur. Un attaquant peut introduire des données malveillantes pour contourner les restrictions d'accès aux dossiers, exécuter du code arbitraire sur le système et élever ses privilèges.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire
  • Elévation de privilèges

Criticité

  • Score CVSS v3.1: 7.1 max

La faille est activement exploitée

  • Non pour l’ensemble des CVE présentées

Un correctif existe

  • Oui pour l’ensemble des CVE présentées

Une mesure de contournement existe

  • Non pour l’ensemble des CVE présentées

Les vulnérabilités exploitées sont du type

Pour la vulnérabilité CVE-2021-3959

  • CWE-918 : Server-Side Request Forgery

Pour la vulnérabilité CVE-2021-3960

  • CWE-22 : Improper Limitation of a Pathname to a Restricted Directory
     

Détails sur l’exploitation

Pour la vulnérabilité CVE-2021-3959

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Non
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

 

Pour la vulnérabilité CVE-2021-3960

  • Vecteur d’attaque : local
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Non
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

 

Composants vulnérables.

Pour la vulnérabilité CVE-2021-3959

  • Les versions antérieures à la version 3.3.8 de GravityZone
     

Pour la vulnérabilité CVE-2021-3960

  • Les versions antérieures à la version 3.3.8.272 de GravityZone.

 

Solutions ou recommandations

Pour la vulnérabilité CVE-2021-3959

  • Une mise à jour automatique vers la version 3.3.8 de GravityZone est appliquée par l’éditeur. 

 

Pour la vulnérabilité CVE-2021-3960

  • Une mise à jour automatique vers la version 3.3.8.272 de GravityZone est appliquée par l’éditeur. 

Liens