LUGLIO 2025
CVE WSA-2025-07-001 Fuga di credenziali da un obiettivo web
Titolo: CVE WSA-2025-07-001 Perdita di credenziali di un obiettivo web
Data: Luglio 2025
Sommario
È stata scoperta una vulnerabilità di alta gravità (CVSS Base Score 7.7) in WALLIX Web Session Manager 4.0.7 (attualmente in versione controllata).
Dettagli sulla vulnerabilità
– Prodotto: WALLIX Web Session Manager
– Versione interessata: 4.0.7
– Funzionalità: Sessioni web con iniezione automatica di credenziali
– Dettagli della vulnerabilità: Quando un utente accede a un’applicazione web utilizzando il flusso di lavoro di iniezione delle credenziali, le credenziali dell’applicazione possono essere esposte nel browser e possono essere recuperate attraverso gli strumenti di sviluppo del browser.
– Impatto: Le credenziali sensibili possono trapelare e possono essere utilizzate per l’accesso incontrollato agli obiettivi.
– Gravità:
◦ CVSS Basic: 7.7 (/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)
◦ CVSS Environmental: 9.4 (/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N/E:H/RL:O/RC:C/CR:H)
Versioni corrette
WALLIX Web Session Manager hotfix versione 4.0.9 sarà disponibile all’inizio di agosto 2025.
Come verificare se utilizzo questa funzione?
1 Controlla se hai configurato un WALLIX Web Session Manager 4.0.7 => Connettiti come amministratore alla soluzione: il numero di versione viene visualizzato nella pagina di destinazione.
2 Verifica se hai configurato i target dell’applicazione web:
1 Creazione di un’applicazione web => consultare la guida all’amministrazione funzionale di WALLIX Bastion 12.2 “10.4. Aggiungere un’applicazione web”, sezione . Aggiungi un’applicazione web” sezione
2 Creazione dell’account dell’applicazione web => consulta la guida all’amministrazione funzionale di WALLIX Bastion 12.2 “12.1 Aggiungere account di destinazione” sezione
3 Account dell’applicazione web in un gruppo di destinazione => consulta la guida all’amministrazione funzionale di WALLIX Bastion 12.2 “12.2 Aggiungere gruppi di destinazione” sezione
4 Politica di connessione web con credenziali di iniezione come metodo di autenticazione => si prega di fare riferimento alla guida all’amministrazione funzionale di WALLIX Bastion 12.2, sezione “11.3.1. Criteri di connessione delle applicazioni web”.
Mitigazione
WALLIX consiglia di disabilitare il flusso di credenziali di iniezione con le sessioni web e di affidarsi all’autenticazione manuale (login interattivo).
MARZO 2025
CVE XXX WSA-202503-1 AD Discovery: le credenziali dell’account di servizio configurato nell’autenticazione esterna vengono utilizzate per recuperare i dati da AD e i dati recuperati vengono inviati in chiaro.
CVE XXX WSA-202503-1 AD Discovery: le credenziali dell’account di servizio configurato nell’autenticazione esterna vengono utilizzate per recuperare i dati da AD e i dati recuperati vengono inviati in chiaro.
È stata scoperta una vulnerabilità elevata (valutazione: CVSS 8.9).
Prodotti interessati
– Dalla versione 10.0.0 alla 10.0.10, WALLIX Bastion includeva
– Dalla versione 12.0.0 alla 12.0.8, WALLIX Bastion ha incluso
– Tutte le versioni non più supportate sono potenzialmente interessate
Sommario
– Prodotto: WALLIX Bastion – Modulo di scoperta
– Funzionalità: Individuazione degli asset tramite una connessione crittografata e autenticata da GSS-API/STARTTLS a una Active Directory.
– Dettagli della vulnerabilità: WALLIX Bastion invia informazioni durante una scansione sui dispositivi e sui loro account con Active Directory utilizzando GSS-API o STARTTLS. Altre funzioni che si basano sull’integrazione con Active Directory non sono interessate.
– Impatto: Le credenziali dell’account di servizio possono trapelare e i dati sensibili recuperati dall’Active Directory configurato non sono crittografati.
– Software fisso
– WALLIX Bastion 12.0.9 disponibile dal 2025/03/26
– WALLIX Bastion 10 patch disponibile dal 2025/03/28
Il seguente bollettino di sicurezza WALLIX fornisce informazioni sulla vulnerabilità, consigli e soluzioni: WSA-202503-1 https://support.wallix.com/hc/en-us/articles/25925255587613-WSA-202503-1
CVE XXX WSA-202503-2 WIN RM
AD Discovery: AD Discovery: le credenziali dell’account di servizio configurato durante la scansione e utilizzato per recuperare i dati da AD e i dati recuperati vengono inviati in chiaro.
È stata scoperta una vulnerabilità elevata (valutazione: CVSS 8.9).
Prodotti interessati
– Dalla versione 10.0.0 alla 10.0.10, WALLIX Bastion includeva
– Dalla versione 12.0.0 alla 12.0.8, WALLIX Bastion ha incluso
– Tutte le versioni non più supportate sono potenzialmente interessate
Sommario
– Prodotto: WALLIX Bastion – Modulo di scoperta
– Funzionalità: Individuazione delle attività con individuazione dell’account abilitato
– Dettagli della vulnerabilità: WALLIX Bastion invia informazioni durante una scansione sui dispositivi e sui loro account con Active Directory. Altre funzioni che si basano sull’integrazione con Active Directory non sono interessate.
– Impatto: Le credenziali dell’account di servizio possono trapelare.
– Software fisso
– WALLIX Bastion 12.0.9 disponibile dal 2025/03/26
– WALLIX Bastion 10 patch disponibile dal 2025/03/28
Il seguente bollettino di sicurezza WALLIX fornisce informazioni sulla vulnerabilità, consigli e soluzioni:
WSA-202503-2 https://support.wallix.com/hc/en-us/articles/25925620269213-WSA-202503-2
Funzionamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di usi dannosi della vulnerabilità descritta in questo avviso. Tuttavia, si consiglia di verificare qualsiasi attività anomala su WALLIX Bastion e sulle Active Directory associate.
Per qualsiasi domanda o ulteriore informazione, contatta il team di assistenza all’indirizzo https://support.wallix.com.
NOVEMBRE 2024
CVE-2024-XXXXX – Bypass dell’account utente disabilitato/scaduto
È stata scoperta una vulnerabilità CRITICA (valutata 9.1: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L) in WALLIX Bastion e WALLIX Access Manager.
È stato richiesto un numero CVE, attualmente in attesa di assegnazione.
Sommario
|
Prodotto
|
Caratteristica
|
Dettagli sulla vulnerabilità
|
Impatto
|
Come verificare se utilizzo questa funzione
|
|
Bastione WALLIX
|
Autenticazione utente con chiave SSH memorizzata in LDAP o Active Directory
|
WALLIX Bastion non controlla i flag Scaduto o Disattivato.
|
L’utente può autenticarsi sul WALLIX Bastion e accedere ai propri obiettivi SSH.
|
In Configurazione > Domini di autenticazione > Active Directory o LDAP, l’attributo della chiave pubblica SSH è definito
|
|
Bastione WALLIX
|
Autenticazione degli utenti con certificato X.509 memorizzato in LDAP o Active Directory
|
WALLIX Bastion non controlla i flag Scaduto o Disattivato.
|
L’utente può essere in grado di autenticarsi sulla GUI di WALLIX Bastion e di accedere ai propri obiettivi.
|
Entrambe le condizioni sotto riportate sono valide:
|
|
WALLIX Access Manager
|
Autenticazione dell’utente con certificato X.509 memorizzato in Active Directory
|
WALLIX Access Manager non controlla i flag Scaduto.
|
L’utente può essere in grado di autenticarsi sulla GUI di WALLIX Access Manager e di accedere ai propri obiettivi.
|
Nell’organizzazione globale, Configurazione > Domini > Seleziona dominio LDAP, Consenti X509 Cert. Autenticazione è controllato
|
Nota: WALLIX Access Manager non supporta l’autenticazione degli utenti con certificati X.509 memorizzati in LDAP.
Nota: WALLIX Access Manager non consente l’autenticazione dell’utente con la chiave SSH.
Nota: le credenziali dell’utente (chiave privata SSH o chiave privata X.509 associata al certificato) devono essere valide.
WALLIX consiglia di applicare immediatamente le correzioni pubblicate o, prima di applicarle, di adottare i rimedi descritti di seguito.
Prodotti interessati
Bastion:
-
Sono incluse tutte le versioni di WALLIX Bastion 12.0 fino alla 12.0.3
-
Tutti i prodotti WALLIX Bastion 11.0
-
Tutti i WALLIX Bastion 10.1, 10.2, 10.3, 10.4
-
Tutti i WALLIX Bastion 10.0 fino a 10.0.9 inclusi
-
Tutti i WALLIX Bastion 9.0, 9.1
-
Tutti i WALLIX Bastion precedenti potrebbero essere interessati da questo problema.
Access Manager:
-
WALLIX Access Manager 5.1.0
-
Tutte le versioni di WALLIX Access Manager 5.0
-
Tutte le versioni di WALLIX Access Manager 4.4
-
Sono incluse tutte le versioni di WALLIX Access Manager 4.0 fino alla 4.0.7
-
Tutti i precedenti WALLIX Access Manager potrebbero essere interessati da questo problema
Indicatore di compromesso
Controlla il registro di autenticazione su WALLIX Bastion e WALLIX Access Manager per assicurarti che non siano stati utilizzati account disabilitati o scaduti.
Soluzioni
Account scaduto e disabilitato:
Per WALLIX Bastion e WALLIX Access Manager, rimuovi la chiave SSH o l’hash del certificato memorizzati nell’account utente di Active Directory o LDAP.
Il certificato X.509 può essere revocato anche se le CRL sono configurate correttamente in WALLIX Bastion e WALLIX Access Manager.
Solo per gli account disabilitati:
Se non puoi rimuovere le chiavi SSH o il certificato X.509 all’interno di Active Directory:
-
WALLIX Bastion, vai su Configurazione > Opzioni di configurazione > Globale > (Opzioni avanzate) > Attributi Ldap e aggiungili:
-
“userAccountControl” per Active Directory
-
“krbPasswordExpiration” per FreeIPA.
-
-
WALLIX Access Manager non è affetto da questa vulnerabilità.
Software fisso
-
WALLIX Bastion 12.0.4, disponibile ora https://updates.wallix.com/bastion/bastion-12.0.4.iso
-
WALLIX Access Manager 5.1.1, disponibile ora https://updates.wallix.com/accessmanager/accessmanager-5.1.1.1.iso
-
WALLIX Bastion 10.0.10, disponibile dal 22 novembre
-
WALLIX Access Manager 4.0.8, disponibile dal 22 novembre
Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso.
Tuttavia, si consiglia di verificare qualsiasi attività anomala sui Bastioni WALLIX.
DICEMBRE 2023
Potenziale divulgazione di informazioni sensibili CVE-2023-49961
SOMMARIO
È stata scoperta una vulnerabilità nei prodotti WALLIX che potrebbe consentire a un aggressore di accedere a informazioni sensibili. L’aggressore potrebbe sfruttare questa vulnerabilità per ottenere accessi illegittimi.
WALLIX consiglia di applicare immediatamente le correzioni pubblicate o, prima di applicarle, il workaround descritto di seguito.
Prodotti interessati
Tutte le versioni supportate di WALLIX Bastion e Access Manager come appliance.
Soluzioni
Il seguente articolo della nostra knowledge base ti fornisce la procedura di mitigazione.
- Access Manager come dispositivo: https://wallix.lightning.force.com/lightning/r/Knowledge__kav/ka0Sb00000007O5IAI/view
- Bastione: https://wallix.lightning.force.com/lightning/r/Knowledge__kav/ka0Sb00000005irIAA/view
Software fisso
Le versioni hotfix e le patch sono disponibili sul nostro portale di download:
-
Bastion 9.0.9 : https://cloud.wallix.com/index.php/s/DBkJWdtsPjW7BSn (SHA256: dc5e3fda310a94cd54835800718cc1ec02084a126f79c82dde465eff40d698a4 )
-
Bastion 10.0.5 : https://cloud.wallix.com/index.php/s/PYjdncJSTaEBRSg (SHA256: 65cdc9b49dfa2160a4a8489fd1c61cad1a48444dbb86cb4a9ac0f4ff527d1197 )
Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso.
Tuttavia, si consiglia di verificare la presenza di attività anomale su WALLIX Bastion e WALLIX Access Manager. Si consiglia inoltre di verificare che il firewall di Bastion e Access Manager sia abilitato.
FEBBRAIO 2023
Escalation dei privilegi di Access Manager CVE-2023-23592
Febbraio 2023
Escalation dei privilegi di Access Manager
CVE-2023-23592
SOMMARIO
È stata scoperta una vulnerabilità nel prodotto WALLIX Access Manager che potrebbe consentire a un utente malintenzionato di accedere a informazioni sensibili. L’utente malintenzionato potrebbe sfruttare questa vulnerabilità per ottenere accessi illegittimi.
WALLIX consiglia di applicare immediatamente le correzioni pubblicate o, prima di applicarle, il workaround descritto di seguito.
Prodotti interessati
Tutte le versioni di WALLIX Access Manager.
Soluzioni
Il seguente articolo della nostra knowledge base fornisce la procedura di risoluzione del problema.
https://support.wallix.com/s/article/How-can-I-mitigate-CVE-2023-23592
Software fisso
Le versioni hotfix sono disponibili sul nostro portale di download:
Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso. Tuttavia, si raccomanda di verificare qualsiasi attività anomala sui Bastioni WALLIX collegati a WALLIX Access Manager. In particolare, si raccomanda di cercare IP insoliti utilizzati da utenti privilegiati che potrebbero essere utilizzati da più account utente.
Fonte
Controlli di sicurezza interni
DICEMBRE 2021
Vulnerabilità nell’esecuzione di codice remoto di Log4J (CVE-2021-44228)
SOMMARIO
Il 9 dicembre 2021 il team di sicurezza di Alibaba Cloud ha pubblicato una vulnerabilità in log4j, una comune libreria di registrazione Java. (CVE-2021-44228) Questa vulnerabilità consente l’esecuzione di codice remoto non autenticato sulle applicazioni Java.
Prodotti interessati
Tutte le versioni di WALLIX Access Manager
Soluzioni
La configurazione predefinita di WALLIX Access Manager impedisce di sfruttare la suddetta vulnerabilità nel campo di login.
Tuttavia, per evitare la possibilità di trovare un exploit in caso di modifica della configurazione predefinita di WALLIX Access Manager, il team di WALLIX propone una patch che disattiva la classe difettosa della libreria log4j.
Questa patch si applica a tutte le versioni di Access Manager a partire dalla versione 2.0.
Il seguente articolo della nostra knowledge base fornisce l’accesso alla patch e la procedura per installarla.
https://support.wallix.com/s/article/CVE-2021-44228-Mitigation-procedure
Software fisso
È previsto un aggiornamento della versione di Log4J insieme alla versione 3.0.11 di Access Manager.
Il rilascio di questa versione è previsto per la fine di dicembre 2021.
Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso. Tuttavia, si raccomanda di verificare qualsiasi attività anomala sui Bastioni WALLIX collegati a WALLIX Access Manager. In particolare, si raccomanda di verificare la creazione di nuovi utenti o autorizzazioni, soprattutto dopo la pubblicazione della CVE.
Fonte
Il 9 dicembre 2021 il team di sicurezza di Alibaba Cloud ha pubblicato una vulnerabilità in log4j, una comune libreria di registrazione Java. (CVE-2021-44228)
GENNAIO 2021
Escalation dei privilegi di Sudo nei prodotti WALLIX – CVE-2021-3156
SOMMARIO
Il team di ricerca Qualys ha scoperto una vulnerabilità di heap overflow in sudo (CVE-2021-3156); qualsiasi utente locale non privilegiato può ottenere i privilegi di root su un host vulnerabile utilizzando una configurazione predefinita di sudo sfruttando questa vulnerabilità.
sudo può essere sfruttato solo localmente. Ciò significa che o :
- L’utente è collegato al WALLIX Bastion, attraverso l’account wabadmin, sull’interfaccia di amministrazione. Questo utente può quindi sfruttare sudo per diventare root e aggirare tutte le protezioni di WALLIX Bastion.
- Esiste una vulnerabilità RCE (Remote Code Exploitation) in un altro software WALLIX o di terze parti, che fornisce una shell locale. Dopo aver sfruttato con successo questa vulnerabilità, l’attaccante sarà in grado di sfruttare sudo per diventare root. A conoscenza di WALLIX, un Bastion aggiornato non presenta tale vulnerabilità.
Prodotti interessati
- Tutte le versioni precedenti a WALLIX Bastion 8.0.6 (inclusa)
- Tutte le versioni 8.1 e 8.2
Soluzioni
Non esiste una soluzione a questa vulnerabilità.
Software fisso
Questa vulnerabilità è stata risolta a partire da WALLIX Bastion 8.0.7 e 7.0.14.
- Per la versione 8.0.6 e precedenti è disponibile una patch di correzione (valida per le versioni 8.1 e 8.2).
- È disponibile una patch di correzione per la versione 7.0.13 e precedenti.
Questi elementi sono disponibili sul nostro sito di download:
Supporto WALLIX: Patch
Sfruttamento e annunci pubblici
WALLIX non è a conoscenza di annunci pubblici o di un uso dannoso della vulnerabilità descritta in questo avviso.
Fonte
Il 26 gennaio 2021, Qualys ha reso pubblica questa vulnerabilità in un bollettino di sicurezza al seguente link: https://blog.qualys.com
SUPPORTO E SERVIZI WALLIX
SEGUICI
