Vulnérabilité de suppression arbitraire de fichiers par contournement de répertoire dans Logsign Unified SecOps Platform

Cette vulnérabilité de traversal de répertoire exploitable permet à un attaquant authentifié d'accéder et de supprimer des fichiers sensibles sur le serveur Logsign Unified SecOps Platform. L'attaquant peut potentiellement supprimer des fichiers de configuration critiques, des journaux d'audit, ou même des données sensibles stockées par la plateforme. L'exploitation réussie pourrait permettre un accès root au système, compromettant ainsi l'intégrité et la confidentialité des données. Bien que l'authentification soit requise, la possibilité d'une suppression arbitraire de fichiers représente un risque significatif, en particulier si les contrôles d'accès sont mal configurés ou si des identifiants valides sont compromis. Cette vulnérabilité rappelle les risques associés aux faiblesses de gestion des chemins d'accès, où une validation insuffisante des entrées utilisateur peut conduire à un accès non autorisé.

Organizations heavily reliant on Logsign Unified SecOps Platform for security monitoring and incident response are particularly at risk. This includes organizations with limited security resources or those using older, unpatched installations of the platform. Shared hosting environments where multiple users share the same Logsign instance are also at increased risk, as a compromised user account could be leveraged to exploit this vulnerability.

• linux / server: Monitor system logs (e.g., /var/log/syslog, /var/log/auth.log) for suspicious file deletion attempts, particularly those originating from external sources. Use auditd to track file access and modification events.

auditctl -w / -p wa -k logsign_file_deletion

• generic web: Examine access and error logs for unusual HTTP requests containing path traversal sequences (e.g., ../).

grep -i 'path=../' /var/log/apache2/access.log

1. 2024-08-21Disclosure

   disclosure

1. Réservé2024-08-08
2. Publiée2024-08-21
3. EPSS mis à jour2026-04-02

La mitigation principale consiste à mettre à jour Logsign Unified SecOps Platform vers la version 6.4.23 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès au service HTTP API aux seuls utilisateurs autorisés et de mettre en œuvre des contrôles d'accès stricts pour limiter les privilèges des utilisateurs authentifiés. Envisagez également de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes malveillantes ciblant le service HTTP API. Surveillez attentivement les journaux du système pour détecter toute activité suspecte, en particulier les tentatives de suppression de fichiers. Des règles de détection Sigma ou YARA pourraient être développées pour identifier les schémas d'exploitation.