Date de divulgation: 2 octobre 2024
CVE-2024-9441 est une vulnérabilité d'injection de commande de système d'exploitation affectant la série Linear eMerge e3 jusqu'à la version 1.00-07. Si elle est exploitée, un attaquant distant et non authentifié peut exécuter des commandes arbitraires du système d'exploitation via l'attribut login_id lors de l'invocation de la fonction mot_de_passe_oublié via HTTP.
Linear eMerge est une plateforme de contrôle d'accès basée sur un navigateur, conçue pour gérer et sécuriser les points d'entrée physiques au sein des organisations. Le système permet aux administrateurs de contrôler les autorisations d'accès, de surveiller les activités d'entrée et de générer des rapports.
The Flax Typhoon botnet, among other botnets linked to state-sponsored activities in China, has a history of targeting this device by exploiting the older command injection vulnerability CVE-2019-7256 in versions <=1.00-06. While the newer CVE-2024-9441 is not currently actively exploited, device owners are advised to take measures to harden their systems.
Lorsqu'elle est exposée à l'internet public, la série eMerge e3 présente un portail de connexion basé sur le web. Cette interface est destinée au personnel autorisé pour accéder au système à distance. Si elle n'est pas correctement sécurisée, cette exposition peut être exploitée par des utilisateurs non autorisés. Pour sécuriser l'accès au portail web de eMerge e3-Series, les utilisateurs doivent restreindre l'accès aux seuls réseaux internes ou VPN, désactiver l'exposition à l'internet public, et appliquer l'authentification multi-facteurs pour l'accès à distance si nécessaire.
Interface web eMerge linéaire exposée
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-9441 - CVSS 9.8 (Critique) attribué par VulnCheck |
| Description de la vulnérabilité |
Le Linear eMerge e3-Series jusqu'à la version 1.00-07 est vulnérable à une injection de commande du système d'exploitation. Un attaquant distant et non authentifié peut exécuter des commandes arbitraires du système d'exploitation via l'attribut login_id lors de l'invocation de la fonction mot_de_passe_oublié via HTTP. |
| Date de la divulgation |
2 octobre 2024 |
| Actifs touchés |
login_id lors de l'invocation de la fonction mot_de_passe oublié via HTTP. |
| Versions de logiciels vulnérables |
Versions jusqu'à 1.00-07 |
| PoC disponible ? |
Oui, cet avis de SSD Secure Disclosure détaille comment la vulnérabilité peut être exploitée. VulnCheck a également publié un PoC. |
| Statut d'exploitation |
Le même appareil a été précédemment ciblé par le botnet Flax Typhoon en utilisant des vulnérabilités plus anciennes telles que CVE-2019-7256mais cette CVE-2024-9441 n'est pas apparue sur la liste de la CISA des vulnérabilités exploitées connues ou dans GreyNoise au moment de la rédaction de ce document. |
| Statut du patch |
À l'heure où nous écrivons ces lignes, il n'y a pas de correctif disponible pour cette CVE. En l'absence de correctif, il est recommandé aux utilisateurs d'isoler ou de mettre hors ligne les appareils concernés, de mettre en œuvre une segmentation du réseau afin de restreindre l'accès au personnel non autorisé, ou d'utiliser des solutions de surveillance afin de détecter toute activité inhabituelle. |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 2,706 portails web Linear eMerge e3-Series exposés en ligne, en filtrant les pots de miel. La grande majorité d'entre eux (95 %) sont géolocalisés aux États-Unis. Censys a observé qu'environ 22 % des instances exposées étaient associées à Comcast (ASN 7922). Il convient de noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques des appareils ne sont pas disponibles.
Carte des instances exposées de Linear eMerge e3-Series :
Censys Requête de recherche :
services.software: (vendor="Linear" and product="eMerge")
Censys Requête ASM :
host.services.software.vendor="Linear" AND host.services.software.product="eMerge"
Références
