Het Sangfor Behavior Management System, ook bekend als het DC Management System, heeft een kritieke kwetsbaarheid gevonden: CVE-2023-7307. Dit XML External Entity (XXE) injectieprobleem in het /src/sangforindex endpoint maakt het mogelijk voor een niet-geauthenticeerde externe aanvaller om kwaadwillige XML-gegevens in te dienen. Hierdoor kunnen potentieel interne bestanden worden onthuld, kunnen er server-side request forgery (SSRF) aanvallen plaatsvinden en andere risico’s afhankelijk van het gedrag van de parser.
Overzicht
De kwetsbaarheid is te wijten aan een onjuiste configuratie van de XML-parser die het mogelijk maakt externe entiteiten zonder restricties te gebruiken. Dit probleem is vooral zorgwekkend omdat het product is geïntegreerd in het IAM (Internet Access Management) platform van Sangfor zonder een duidelijke versie-indeling die getroffen versies aanduidt.
Aanbevelingen
- Verantwoordelijke IT-teams wordt aangeraden snel hun systemen te controleren en bedrijfsrisico’s te evalueren.
- Volg de laatste advisories van Sangfor of uw beveiligingsleverancier voor mogelijke updates of mitigatie-instructies.
- Overweeg netwerksegmentatie en beveiligingsmaatregelen om onbevoegde toegang verder te beperken.
Bronnen
- Technische beschrijving en exploit
- Productdocumentatie van Sangfor
- Sangfor IAM-bericht
- VulnCheck-advies
Vraag en Antwoord
Wat is CVE-2023-7307?
Het is een beveiligingslek in het Sangfor Behavior Management System dat aanvallers toestaat kwaadwillige XML-gegevens in te dienen, wat kan leiden tot het ontsluiten van interne bestanden en andere risico’s.
Welke systemen zijn kwetsbaar voor CVE-2023-7307?
Alle versies van het Sangfor Behavior Management System die de betreffende module /src/sangforindex gebruiken, worden als kwetsbaar beschouwd.
Bestaat er al een patch of beveiligingsupdate?
Tot op heden is geen specifieke update of patch vrijgegeven. Controleer regelmatig updates van Sangfor voor de nieuwste beveiligingspatches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk vertrouwelijke gegevens buitmaken, toegang tot interne systemen krijgen of netwerkverkeer manipuleren via SSRF-aanvallen.
