CVE-2026-23781: Credentials Hardcoded in BMC Control-M/MFT

L'impact principal de cette vulnérabilité est la possibilité pour un attaquant d'obtenir des informations d'identification de débogage par défaut et de les utiliser pour accéder à l'interface de débogage de l'API MFT. Cet accès pourrait permettre à l'attaquant d'intercepter des données sensibles, de modifier des configurations, voire d'exécuter des commandes arbitraires sur le système. Bien que l'interface de débogage soit généralement isolée, une compromission pourrait servir de tremplin pour des attaques plus larges sur l'infrastructure Control-M/MFT. Le risque est exacerbé par le fait que ces informations d'identification sont codées en dur, ce qui signifie qu'elles ne sont pas modifiées par défaut lors de l'installation, laissant de nombreux systèmes vulnérables. Il est crucial de noter que l'obtention de cet accès pourrait permettre une surveillance du trafic et des opérations, conduisant à une perte de confidentialité et d'intégrité des données.

1. Publiée2026-04-10
2. Modifiée2026-04-14
3. EPSS mis à jour2026-04-18

La mitigation principale consiste à mettre à jour BMC Control-M/MFT vers la version 9.0.22-025, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure temporaire consiste à modifier les informations d'identification de débogage par défaut dès l'installation. Il est impératif de ne pas utiliser les informations d'identification par défaut fournies par BMC. En l'absence de mise à jour, une surveillance accrue des journaux d'accès à l'API MFT est recommandée pour détecter toute activité suspecte. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une règle générale interdisant l'accès non autorisé à l'interface de débogage pourrait être mise en place. Après la mise à jour, vérifiez l'absence d'informations d'identification par défaut en consultant la configuration de l'API MFT.