Multiples vulnérabilités dans EyesOfNetwork

De multiples vulnérabilités ont été découvertes dans EyesOfNetwork, un outil de supervision systèmes et réseaux distribué avec un système d’exploitation dédié de type Linux. Ces vulnérabilités permettent à un attaquant de compromettre la confidentialité de la base de données de l’outil, ainsi que réaliser un déni de service sur le service SQL de la machine.

CVE-2020-8656 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type injection SQL a été découverte dans l’API de EyesOfNetwork. Un attaquant pouvant envoyer des requêtes HTTP à la machine et exploitant cette faille pourrait obtenir des informations sensibles stockées dans la base de données de l’outil, ainsi que conduire à une situation de déni de service en insérant une directive sleep() mettant en pause le processus pour une durée indéterminée.

CVE-2020-8657 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité liée à des paramètres prédictibles a été découverte dans l’API de EyesOfNetwork. La clé d’accès à l’API par défaut restant inchangée après installation du service, un attaquant peut utiliser cette particularité pour deviner la valeur du jeton d’authentification administrateur à l’API, accédant ainsi à des fonctionnalités et informations sensibles.

Informations
+

Risques

  • Fuite de données sensibles contenues dans la base de données du service
  • Accès non-légitime à des fonctionnalités administratives
  • Déni de service

Criticité

  • Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation disponible publiquement à ce jour. Des informations suffisamment détaillées peuvent cependant être trouvées sur le dépôt de code source du service

Composants vulnérables

  • EyesOfNetwork avec API dans une version inférieure à 2.0-2

CVE

  • CVE-2020-8654
  • CVE-2020-8655
  • CVE-2020-8656
  • CVE-2020-8657

Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour EyesOfNetwork API à la version 2.0-2

Solution de contournement

  • Aucune solution de contournement n’est disponible