| CVE | 9163 |
|---|---|
| Résumé de l'avis | Exécution d'une injection de code XAML dans les clients exécutant Command Client |
| Produits ou composants | Command Client |
| Abordé dans le communiqué | Command Client 2.7.2 |
| Sévérité | Critique |
| Billet | MNS-2287 |
Description
Lorsque Command Client établit une connexion avec Command Enterprise Software ou avec un enregistreur (y compris Command Recording Software), il télécharge et exécute certains objets XAML utilisés pour afficher une partie de l'interface et fournir des clauses de non-responsabilité et des conditions de service. Ces objets XAML peuvent être utilisés comme vecteur d'attaque, dans les versions affectées de Command Client, pour exécuter un code malveillant dans le système où le Command Client est utilisé.
Impact
Un Command Enterprise Software ou un enregistreur (y compris le logiciel Command Recording) malveillant peut injecter un code malveillant dans le XAML téléchargé, ou un homme du milieu peut intercepter un code valide et le remplacer.
Les versions affectées de Command Client exécutent le XAML, ce qui permet d'accéder au système sur lequel le Command Client est utilisé, d'exposer son système de fichiers et de permettre l'exécution de codes malveillants. Cet accès est limité aux droits de l'utilisateur qui a lancé Command Client.
Atténuations
L'impact de cette vulnérabilité peut être atténué si l'infrastructure du réseau est protégée contre la présence de services malveillants agissant comme le Command Enterprise Software ou un enregistreur (y compris le logiciel Command Recording Software), et contre la présence d'attaques de l'homme du milieu.
Une infrastructure de réseau fermée sera protégée contre les attaques venant de l'extérieur, tandis que pour celles qui pourraient survenir de l'intérieur, le risque pourrait être atténué en utilisant des certificats 802.1x, pris en charge dans notre solution, pour authentifier l'accès au réseau.
Solution
Mettez à jour le Command Client avec au moins la version corrigée. La dernière version peut être téléchargée à partir du site web de March Networks ou du portail des partenaires de March Networks .
La mise à niveau du Command Enterprise Software vers au moins 2.7.2 et du logiciel Command Recording vers au moins 2.8.0 entraînera automatiquement l'utilisation de la version correspondante du client.
Sur notre Portail Partenaires, les clients utilisant Command Enterprise Software 2.6.5, 2.7.0 ou 2.7.1 trouveront un utilitaire de mise à jour Command Client 2.7.2 pour appliquer et distribuer Command Client 2.7.2 à partir du CES.
Téléchargements
La dernière version du client est disponible sur le site web de March Networks à l'adresse suivante : https://www.marchnetworks.com/software-downloads/
Toutes les versions de nos logiciels pris en charge sont également disponibles sur le portail des partenaires de March Networks à l'adresse suivante : https://partners.marchnetworks.com/support/command-software/command-client/
Références
https://docs.microsoft.com/en-us/visualstudio/code-quality/ca3010
Crédits
March Networks souhaite remercier Joachim Kerschbaumer d'avoir porté cette vulnérabilité à notre attention.
Révision
23 March 2020 - Rapport public initial
Clause de non-responsabilité
L'évaluation par March Networksde cette faille de sécurité dépend de la mise à jour des produits March Networks à la version recommandée et/ou au niveau du correctif de sécurité et du fait que le système a été déployé et configuré conformément aux recommandations de sécurité de March Networks et aux meilleures pratiques de l'industrie. IL EST DE LA RESPONSABILITÉ DU CLIENT D'ÉVALUER L'EFFET DE TOUTE FAILLE DE SÉCURITÉ. Le fait de ne pas mettre à jour les produits de March Networks et/ou de ne pas suivre les recommandations de March Networks ou les meilleures pratiques du secteur peut accroître le risque associé à une faille de sécurité.
March Networks suit les pratiques de pointe de l'industrie pour remédier aux failles de sécurité de ses produits. Bien que March Networks ne puisse pas garantir que ses produits seront exempts de failles de sécurité, nous nous engageons à fournir des mises à jour et des correctifs de sécurité pour nos produits pris en charge, si et lorsqu'il est établi qu'une faille de sécurité importante affecte les produits March Networks