Une vulnérabilité critique identifiée sur l’agent d'authentification RSA® pour le serveur web Apache

Une vulnérabilité critique a été découverte sur l'agent d'authentification RSA pour le serveur web apache.

Cette dernière, référencée par la CVE CVE-2017-14377, peut être exploitée à distance par un utilisateur non-authentifié en envoyant un paquet spécialement conçu. Le paquet va engendrer un erreur dans la procédure de validation et permettre à l'utilisateur de gagner un accès non-autorisé aux ressources de la cible protégées par l’agent.

Cette vulnérabilité est présente uniquement lorsque l'agent d'authentification RSA pour le serveur Web Apache est configuré pour utiliser le protocole TCP afin de communiquer avec le serveur RSA Authentication Manager. L'implémentation via la protocole UDP, qui est la configuration par défaut, n'est pas vulnérable. 

Informations
+

Impact

  • Contournement de l’authentification

Criticité

  • CVSS v3 : 10.0

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Agent d'authentification RSA® pour Web: Apache Web Server version 8.0

  • Agent d'authentification RSA® pour Web: Serveur Web Apache version 8.0.1 antérieure à la version 618

CVE

  • CVE-2017-14377

Recommandations
+

Correctifs

La version suivante corrige la vulnérabilité:

  • Agent d'authentification RSA : Apache Web Server version 8.0.1 Build 618

RSA a publié un patch pour corriger la vulnérabilité, disponible via le lien suivant : https://community.rsa.com/community/products/securid/authentication-agent-web-apache  

RSA recommande à tous les clients d'effectuer la mise à niveau le plus tôt possible.

Solution de contournement

Il est possible de prémunir de la vulnérabilité en configurant l'agent de manière à utiliser le protocole UDP qui n'est pas impacté par la vulnérabilité.