L’appliance Barracuda Spam Firewall prend l’eau !

Quoi de plus ironique qu’un système de sécurité vulnérable ?

Cette semaine, c’est l’appliance ‘antispam’ de Barracuda qui s’y colle. Une firme canadienne a déniché plusieurs vulnérabilités critiques pouvant conduire à l’exécution de commandes arbitraires et au vol du mot de passe administrateur. Comme tout bonne ‘appliance’ qui se respecte, le Barracuda Spam Firewall est équipé d’un accès http dédié à l’administration/supervision. Ainsi, l’appliance peut être configurée à l’aide d’un simple navigateur Web. Seule ombre au tableau, plusieurs ‘scripts cgi’ opérant sur la configuration du système embarqué sont vulnérables. Résultat des courses, il serait possible, à distance et sans authentification, de récupérer le mot de passe administrateur et d’avoir accès à l’ensemble des fichiers du système Barracuda. Un simple navigateur suffit pour exploiter la faille. Toutes les versions du ‘firewall’ inférieures à 3.1.17 sont vulnérables. La société éditrice du produit Barracuda Spam Firewall a corrigé le problème dans la version 3.1.18 disponible depuis juillet.

Norman Girard pour Vulnerabilite.com