Une vulnérabilité critique, référencée par la CVE CVE-2017-14378, a été identifiée sur les versions 8.5/8.6 du SDK de l'agent d'authentification RSA. L'ensemble des systèmes développés avec ce kit SDK sont donc impactés par la vulnérabilité.
Les versions vulnérables comportent une faille au niveau de la gestion des codes d'erreurs sur les implémentations utilisant le protocole TCP en mode asynchrone. La vulnérabilité pourrait donc être exploitée par un attaquant afin de contourner l’authentification sur certaines implémentations.
Les implémentations gérant les codes de retour de manière appropriée conformément aux instructions documentées dans le guide des APIs RSA Authentication Agent ne sont pas vulnérables.
Impact
- Contournement de l’authentification
Criticité
- CVSS v3 : 10.0
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
-
RSA Authentication Agent API 8.5 for C
-
RSA Authentication Agent SDK 8.6 for C
CVE
- CVE-2017-14378
Correctifs
Le correctif de la version C du SDK est disponible sur le lien suivant : https://community.rsa.com/docs/DOC-40601#agents
Les versions suivantes ne sont pas vulnérables :
-
RSA Authentication Agent API / SDK pour Java ;
-
API de l'agent d'authentification RSA pour les versions C antérieures à la version 8.5 ;
-
RSA Authentication Manager SDK et RSA SecurID® Mobile SDK.
Solution de contournement
Il n’existe pas actuellement de solution de contournement.