Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Optistream a découvert l’existence de plusieurs vulnérabilités critiques (CVE-2024-37393) au sein du produit SecurEnvoy MFA affectant les versions inférieures à 9.4.514.

juin 2024 par Optistream

L’équipe d’experts en cybersécurité de la société Optistream a découvert l’existence de plusieurs vulnérabilités critiques (CVE-2024-37393) au sein du produit SecurEnvoy MFA affectant les versions inférieures à 9.4.514.

Cette solution dite Zero Trust apporte le support de l’authentification à double-facteur à des solutions tierces (Citrix, Fortinet…). Celle-ci permet à ses utilisateurs de s’authentifier à l’aide d’un second facteur qu’il est possible de recevoir par mail, SMS, notifications Push ou via l’utilisation d’un code OTP fourni par l’application mobile proposée également par l’éditeur.
SecurEnvoy MFA expose certains endpoints HTTP afin que les utilisateurs ou applications puissent interagir avec la solution. L’analyse du produit a révélé l’existence d’un service initialement destiné à usage interne par l’application, à la fois exposé et accessible pré-authentification. L’étude approfondie de ce service particulier a mené à la découverte de vulnérabilités de type « injections LDAP » dans le code en charge de l’interrogation de l’annuaire (e.g. Active Directory) et de la récupération des informations utilisateur.
Il est alors possible à un attaquant distant non-authentifié de forger des requêtes malveillantes afin d’extraire des données arbitraires de l’annuaire Active Directory depuis Internet.

Optistream, société spécialisée dans la sécurité des infrastructures cloud et hybrides, a travaillé en collaboration avec l’éditeur afin de corriger ces vulnérabilités.
https://www.optistream.io/blogs/tech/securenvoy-cve-2024-37393
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37393


Voir les articles précédents

    

Voir les articles suivants