Une vulnérabilité de contournement d’authentification dans la solution de protection des données d’entreprise Arcserve Unified Data Protection peut être exploitée pour compromettre les comptes administrateurs et prendre le contrôle des instances vulnérables, ont découvert les chercheurs de MDSec Juan Manuel Fernández et Sean Doherty – et ont publié un exploit PoC pour cette vulnérabilité.
« À l’heure actuelle, Arcserve n’a connaissance d’aucune tentative active d’exploitation de cette vulnérabilité », a déclaré la société mardi, lorsqu’elle a diffusé des correctifs pour la faille.
CVE-2023-26258 affecte Arcserver UDP versions 7.0 à 9.0 – UDP 6.x et les versions antérieures ne sont pas affectées.
La vulnérabilité n’affecte pas non plus l’agent Linux Arcserve UDP.
« Nous recommandons vivement à tous les utilisateurs de passer à UDP 9.1 – ce qui peut être fait via la mise à jour automatique intégrée dans la version 9 d’UDP ou en utilisant la version 9.1 RTM pour les nouveaux déploiements et les anciennes versions », indique l’entreprise.
Selon le calendrier de divulgation de MDSec, il a fallu plus de quatre mois à Arcserve pour confirmer les conclusions des chercheurs et publier des correctifs, d’abord sans attribuer la découverte de la vulnérabilité à Fernández et Doherty.