Trend Micro a informé les clients cette semaine qu’une mise à jour de son dispositif virtuel de sécurité Web InterScan (IWSVA) corrige plusieurs vulnérabilités potentiellement graves, y compris celles qui pourraient être exploitées pour prendre le contrôle à distance de l’appliance.

Les vulnérabilités ont été découvertes par Wolfgang Ettlinger, chercheur au cabinet de conseil en cybersécurité basé en Autriche SEC Consult, et elles ont été signalées à Trend Micro à l’été 2019. Cependant, le fournisseur n’a réussi à corriger complètement toutes les failles de sécurité qu’à la fin du mois de novembre 2020. , avec la sortie de IWSVA 6.5 SP2 CP b1919.

Alors que le processus de validation et de correction a pris un temps assez long, SEC Consult a déclaré à SecurityWeek que Trend Micro PSIRT a traité le problème de manière très professionnelle, «contrairement aux autres grandes entreprises que nous avons rencontrées dans le passé».

Trend Micro IWSVA est une passerelle Web qui aide les entreprises à protéger leurs systèmes contre les menaces en ligne, tout en offrant une visibilité et un contrôle en temps réel de l’utilisation d’Internet par les employés.

Ettlinger a identifié un total de six types de vulnérabilités dans le produit IWSVA, y compris le contournement de la protection CSRF, le XSS, le contournement d’autorisation et d’authentification, l’exécution de commandes et les problèmes d’injection de commandes, dont la majorité ont été classés comme gravité élevée.

SEC Consult a dit SecurityWeek qu’il a identifié trois scénarios d’attaque pouvant exploiter ces vulnérabilités. Dans l’un d’entre eux, un attaquant peut obtenir un accès root à une appliance ciblée à distance depuis Internet en enchaînant les vulnérabilités CSRF et d’exécution de commande.

Dans un autre scénario, un attaquant ayant accès au port du proxy HTTP pourrait exploiter les vulnérabilités de contournement d’authentification / d’autorisation et la faille d’exécution de commande pour prendre le contrôle de l’appliance en tant que root, sans interaction de l’utilisateur ou de l’administrateur.

Dans le troisième scénario d’attaque décrit par l’entreprise, un attaquant disposant d’un accès réseau à l’administrateur …