1.3 CVE-2015-5464
Local Execution Code
Le HSM Gemalto SafeNet Luna permet à des utilisateurs authentifiés distants de contourner les restrictions d'exportation de clés prévues en exploitant (1) l'accès d'un crypto-utilisateur ou (2) d'un crypto-officier à une partition HSM.
https://nvd.nist.gov/vuln/detail/CVE-2015-5464
Catégories
CWE-284 : Contrôle d'accès inapproprié
Le produit ne limite pas ou limite incorrectement l'accès à une ressource par un acteur non autorisé. Les termes "contrôle d'accès" et "autorisation" sont souvent utilisés de manière interchangeable, bien que de nombreuses personnes aient des définitions distinctes. L'utilisation du terme "contrôle d'accès" par le CWE est conçue comme un terme général pour les différents mécanismes qui restreignent l'accès des utilisateurs à certaines ressources, tandis que le terme "autorisation" est défini de manière plus précise. Il est peu probable que la communauté parvienne à un consensus sur l'utilisation de ces termes. Gérez très soigneusement la définition, la gestion et le traitement des privilèges. Gérer explicitement les zones de confiance dans le logiciel. Le paramètre de contrôle d'accès de l'outil de collaboration documentaire basé sur le Web n'est pas correctement implémenté par le code, ce qui empêche de lister les répertoires cachés mais n'empêche pas les requêtes directes vers les fichiers de ces répertoires. La bibliothèque HTTP basée sur Python ne limite pas les cookies à un domaine particulier, de sorte que le mot "supercookies" peut être envoyé à n'importe quel domaine sur la chaîne de redirection : La plate-forme de virtualisation du cloud computing ne requiert pas d'authentification pour le téléchargement d'un fichier au format tar (CWE-306), puis utilise ... des séquences de traversée de chemin (CWE-23) dans le fichier pour accéder à des fichiers inattendus, comme exploité dans la nature par CISA KEV. Le produit de gestion informatique n'effectue pas d'authentification pour certaines demandes d'API REST, comme exploité dans la nature par CISA KEV. Le paramètre par défaut du produit de gestion des flux de travail autorise toutes les requêtes API sans authentification, ce qui a été exploité dans la nature par CISA KEV. Le panneau d'affichage applique des restrictions sur le nombre d'images lors de la création d'un message, mais ne les applique pas lors de la modification.
Références
CONFIRM
CPE
cpe | start | end |
---|---|---|
Configuration 1 | ||
cpe:2.3:h:gemalto:safenet_luna_g5:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:gemalto:safenet_luna_pci-e:*:*:*:*:*:*:*:* | ||
cpe:2.3:h:gemalto:safenet_luna_sa:*:*:*:*:*:*:*:* |
REMEDIATION
EXPLOITS
Exploit-db.com
id | description | date | |
---|---|---|---|
Pas d'exploit connu |
Autres (github, ...)
Url |
---|
Pas d'exploit connu |
CAPEC
Common Attack Pattern Enumerations and Classifications
MITRE
Techniques
id | description |
---|---|
T1014 | |
T1027.009 | Fichiers ou informations obfusqués : Charges utiles intégrées |
T1037 | Scripts d'initialisation du démarrage ou de la connexion |
T1080 | Altérer le contenu partagé |
T1505.005 | Composant logiciel du serveur : Terminal Services DLL |
T1542.003 | Démarrage avant le système d'exploitation : Bootkit |
T1543 | Créer ou modifier le processus du système |
T1543.001 | Créer ou modifier un processus système : Lancer l'agent |
T1543.003 | Créer ou modifier un processus système : Service Windows |
T1543.004 | Créer ou modifier un processus système : Lancer un démon |
T1546.001 | Exécution déclenchée par un événement : changer l'association de fichiers par défaut |
T1546.004 | Exécution déclenchée par un événement : .bash_profile et .bashrc |
T1546.008 | Exécution déclenchée par un événement : Caractéristiques d'accessibilité |
T1546.016 | Exécution déclenchée par un événement : Paquets d'installation |
T1547 | Exécution du démarrage automatique au démarrage ou à la connexion |
T1547.006 | Exécution du démarrage automatique au démarrage ou à la connexion : modules et extensions du noyau |
T1553.004 | Subvertir les contrôles de confiance : installer un certificat racine |
T1556.006 | Modifier le processus d'authentification : Authentification multi-facteurs |
T1562.001 | Affaiblir les défenses : Désactiver ou modifier les outils |
T1562.002 | Affaiblir les défenses : Désactiver la journalisation des événements de Windows |
T1562.004 | Affaiblir les défenses : Désactiver ou modifier le pare-feu du système |
T1562.007 | Affaiblir les défenses : Désactiver ou modifier le pare-feu du nuage |
T1562.008 | Affaiblir les défenses : Désactiver les journaux des nuages |
T1562.009 | Altérer les défenses : Démarrage en mode sans échec |
T1574.011 | Flux d'exécution du détournement : faiblesse des permissions du registre des services |
© 2022 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation. |
Atténuations
id | description |
---|---|
T1027.009 | Sur Windows 10, activez les règles de réduction de la surface d'attaque (ASR) pour empêcher l'exécution de scripts potentiellement obfusqués. |
T1037 | Veiller à ce que les autorisations appropriées soient définies pour les ruches du registre afin d'empêcher les utilisateurs de modifier les clés pour les scripts de connexion, ce qui pourrait entraîner une persistance. |
T1080 | Protégez les dossiers partagés en réduisant le nombre d'utilisateurs ayant un accès en écriture. |
T1505.005 | Envisagez d'utiliser la stratégie de groupe pour configurer et bloquer les modifications des paramètres de Terminal Services dans le registre. |
T1542.003 | |
T1543 | |
T1543.001 | Définissez des stratégies de groupe pour restreindre les autorisations de fichiers dans le dossier <code>~/launchagents</code>. |
T1543.003 | |
T1543.004 | |
T1546.004 | Le fait de rendre ces fichiers immuables et modifiables uniquement par certains administrateurs limitera la capacité des adversaires à créer facilement une persistance au niveau de l'utilisateur. |
T1546.008 | Pour utiliser cette technique à distance, un adversaire doit l'utiliser en conjonction avec RDP. Assurez-vous que l'authentification au niveau du réseau est activée pour forcer la session de bureau à distance à s'authentifier avant que la session ne soit créée et que l'écran de connexion ne s'affiche. Elle est activée par défaut sur Windows Vista et les versions ultérieures. |
T1547.006 | |
T1553.004 | L'épinglage de la clé publique HTTP (HPKP) est une méthode permettant d'atténuer les situations potentielles de type "Adversary-in-the-Middle" dans lesquelles un adversaire utilise un certificat mal délivré ou frauduleux pour intercepter des communications chiffrées en imposant l'utilisation d'un certificat attendu. |
T1556.006 | |
T1562.001 | Veiller à ce que les autorisations nécessaires soient en place pour empêcher les adversaires de désactiver ou d'interférer avec les services de sécurité. |
T1562.002 | |
T1562.004 | Veillez à ce que les autorisations nécessaires soient en place pour empêcher les adversaires de désactiver ou de modifier les paramètres du pare-feu. |
T1562.007 | |
T1562.008 | Configurer la stratégie de compte par défaut pour activer la journalisation. Gérer les stratégies pour s'assurer que seuls les utilisateurs nécessaires ont le droit d'apporter des modifications aux stratégies de journalisation. |
T1562.009 | Veillez à ce que les défenses des points finaux s'exécutent en mode sans échec. |
T1574.011 | S'assurer que les autorisations appropriées sont définies pour les ruches du registre afin d'empêcher les utilisateurs de modifier les clés des composants du système, ce qui pourrait conduire à une escalade des privilèges. |
© 2022 The MITRE Corporation. Cet ouvrage est reproduit et distribué avec l'autorisation de The MITRE Corporation. |
Sherlock® flash
Prenez une photo de votre réseau informatique en quelques clics !
La solution d'audit Sherlock® flash vous permet de réaliser un audit pour renforcer la sécurité de votre parc informatique. Analyse des vulnérabilités de vos équipements physiques et virtuels. Planification des correctifs par niveau de priorité et temps disponible. Rapports détaillés et intuitifs.
