Publication d’un PoC pour la faille de contournement de l’authentification UDP d’Arcserve (CVE-2023-26258)

Une vulnérabilité de contournement d’authentification dans la solution de protection des données d’entreprise Arcserve Unified Data Protection peut être exploitée pour compromettre les comptes administrateurs et prendre le contrôle des instances vulnérables, ont découvert les chercheurs de MDSec Juan Manuel Fernández et Sean Doherty – et ont publié un exploit PoC pour cette vulnérabilité.

« À l’heure actuelle, Arcserve n’a connaissance d’aucune tentative active d’exploitation de cette vulnérabilité », a déclaré la société mardi, lorsqu’elle a diffusé des correctifs pour la faille.

CVE-2023-26258 affecte Arcserver UDP versions 7.0 à 9.0 – UDP 6.x et les versions antérieures ne sont pas affectées.

La vulnérabilité n’affecte pas non plus l’agent Linux Arcserve UDP.

« Nous recommandons vivement à tous les utilisateurs de passer à UDP 9.1 – ce qui peut être fait via la mise à jour automatique intégrée dans la version 9 d’UDP ou en utilisant la version 9.1 RTM pour les nouveaux déploiements et les anciennes versions », indique l’entreprise.

Selon le calendrier de divulgation de MDSec, il a fallu plus de quatre mois à Arcserve pour confirmer les conclusions des chercheurs et publier des correctifs, d’abord sans attribuer la découverte de la vulnérabilité à Fernández et Doherty.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.