dans Blogue, Nouvelles, S-Filer/Portal, uncategorized


S-Filer Portal™ est une solution complète qui permet aux grandes et petites organisations de combler l’ensemble de leurs besoins d’entreprise en matière de transfert et de stockage sécurisé de fichiers.

S-Filer/Portal est-il vulnérable au CVE-2023-48795 qui affecte le protocole SSH?

Courte réponse
Oui. S-Filer/Portal utilise une composante appelée Maverick SSHD de Jadaptive pour prendre en charge les transferts SFTP, qui est un protocole de transfert de fichiers basé sur SSH. Puisque la CVE-2023-48795 est une vulnérabilité au niveau du protocole SSH, la composante est affectée par cette CVE.
C’est pourquoi nous publions aujourd’hui des versions corrigées de S-Filer/Portal 4.14.11, 4.15.7, 4.16.3, 4.17.7, 4.18.3. La plus récente version 4.19.0 a été retardée pour inclure ce correctif et sera également publiée aujourd’hui.

Réponse longue
Le 13 décembre, Jadaptive nous a prévenus qu’une CVE avait été identifiée dans leur composante et qu’un correctif serait disponible le 18 décembre. Il n’y avait pas d’information sur le CVE à part le numéro : CVE-2023-48795, donc très peu d’éléments pour déterminer si S-Filer/Portal était vulnérable. L’avertissement mentionnait qu’OpenSSH et d’autres composantes SSH étaient également touchées, ce qui laissait supposer une vulnérabilité au niveau du protocole et semblait important. OKIOK a décidé de traiter cette vulnérabilité comme une vulnérabilité critique et a averti ses clients qu’une version corrigée de S-Filer/Portal serait publiée le 19 décembre.

Les détails de cette vulnérabilité ont été publiés le 18 décembre à l’adresse suivante : https://terrapin-attack.com/. Ce rapport a révélé que le « correctif » mettait en oeuvre un nouveau protocole d’échange de clés (« strict-kex ») en tant qu’extension et que le serveur et le client SSH devaient être corrigés afin d’atténuer la vulnérabilité. Le rapport a également révélé que certains algorithmes de chiffrement n’étaient pas vulnérables même sans le nouveau protocole d’échange de clés.

  • Un utilisateur malveillant doit déjà être en mesure d’intercepter et de modifier les paquets dans la connexion TCP afin de permettre cette attaque.
  • L’attaquant peut supprimer des messages SSH consécutifs non chiffrés dans la partie initiale du « handshake » SSH. Le seul impact que les chercheurs en sécurité ont pu identifier est que l’attaquant pourrait supprimer un message indiquant que le client et le serveur SSH veulent activer une extension pour « keystroke timing obfuscation » introduite dans OpenSSH 9.5 et ceci en supposant que le client et le serveur supportent tous les deux cette extension.
  • Comment S-Filer/Portal a-t-il été corrigé?
    Premièrement, les versions corrigées de S-Filer/Portal comprennent la version corrigée de la composante Maverick SSHD qui prend en charge le nouveau protocole d’échange de clés « strict-kex ». Deuxièmement, S-Filer/Portal prend en charge les paramètres de gestion des algorithmes de chiffrement dans les protocoles de sécurité comme SSH. En mode « Strong cipher », seuls les algorithmes de chiffrement les plus puissants sont autorisés et OKIOK a retiré le CHACHA20-POLY1305 de cette liste en raison de cette vulnérabilité (d’autres algorithmes de chiffrement mentionnés dans l’attaque « Terrapin » étaient déjà considérés comme faibles). En mode « Allow weak », tous les algorithmes de chiffrement sont autorisés et cela n’a pas changé dans cette version corrigée. En mode « Custom », le client décide des algorithmes de chiffrement qu’il souhaite autoriser ou non. OKIOK n’a pas modifié ces paramètres, les clients doivent mettre à jour la valeur s’ils souhaitent modifier les algorithmes de chiffrement pris en charge.

    Notez que le simple fait de corriger le serveur SSH pour qu’il supporte le nouveau protocole « strict-kex » n’est pas suffisant puisque les clients qui ne le supportent pas continueront à utiliser l’ancien protocole vulnérable. C’est pourquoi il est également important de supprimer les algorithmes de chiffrement vulnérables, car les clients non corrigés négocieront alors un algorithme de chiffrement fort qui n’est pas vulnérable à cette attaque. Toutefois, cela suppose que le client vulnérable prenne en charge au moins l’un des algorithmes de chiffrement forts.

    Référence
    https://terrapin-attack.com/
    https://nvd.nist.gov/vuln/detail/CVE-2023-48795

    Équipe de soutien OKIOK

    Laisser un commentaire

    Start typing and press Enter to search