SAMLStorm : Vulnérabilités critiques de contournement de l'authentification
Le 17 mars 2025, l'équipe BigID Product Security Incident Response Team (PSIRT) a été alertée de deux (2) vulnérabilités critiques connues sous le nom de SAMLStorm. Ces vulnérabilités affectent la bibliothèque xml-crypto Node.js (v6.0.0 et antérieures, CVE-2025-29775 & CVE-2025-29774). Si elles sont exploitées, ces vulnérabilités peuvent entraîner la prise de contrôle de comptes complets, y compris de comptes d'administrateur, dans les applications concernées, sans interaction de l'utilisateur. BigID utilise ces bibliothèques pour effectuer des validations de réponses SAML. L'exploitation de ces vulnérabilités dépend de la configuration IdP de chaque locataire BigID. Les clients qui utilisent BigID Cloud ont déjà mis en place un correctif. Pour les clients qui sont sur site, BigID conseille vivement de mettre à jour vers les versions 22.18, 218.76, 211.74, 205.116 et 198.93. Bien qu'il n'y ait pas de preuve de concept publique disponible, les équipes BigID Product et Cloud Security continuent de surveiller et de traiter le problème et fourniront les mises à jour appropriées en conséquence.
Identification des vulnérabilités critiques - Orch2
Le 21 novembre 2024, l'équipe PSIRT (Product Security Incident Response Team) de BigID a été alertée de l'enregistrement par inadvertance de secrets d'application de coffre-fort dans les journaux de service de l'orchestrateur par un employé de BigID. Le problème est isolé chez les clients qui utilisent AWS Secrets Manager, HashiCorp et BeyondTrust. BigID a déjà contacté les clients concernés en fonction des caractéristiques uniques de leur déploiement et leur a fourni des conseils et des mesures d'atténuation. En outre, des correctifs ont déjà été déployés pour les clients du cloud et publiés pour que les clients sur site puissent les télécharger. Les journaux de service d'Orchestrator sont disponibles dans la section Outils avancés de la plateforme, ou dans d'autres systèmes de stockage de journaux vers lesquels les clients peuvent envoyer les journaux. Les clients qui n'utilisent pas AWS Secrets Manager, HashiCorp ou BeyondTrust ne sont pas concernés.
Attaquer les systèmes UNIX via CUPS
Le 26 septembre, une piste d'attaque affectant les paquets CUPS a été divulguée publiquement et a suscité l'intérêt de la communauté de la sécurité.
Après un examen approfondi de la description de la vulnérabilité, il est clair que le produit BigID et le Cloud ne sont pas affectés.
Détails de l'enquête
BigID a conclu que les bibliothèques cups sont installées dans la liste de services suivante :
- bigid-metadata-search
- bigid-corr-new
- bigid-catalog-processor
- grande lignée
- bigid-reports
- bigid-config-service
- bigid-snippet-persister
Parmi les 4 CVE enregistrés, le CVE-2024-47175 sera signalé dans les services susmentionnés.
Cependant, selon Red Hat, le fournisseur d'images de base de ces services :
"RHCOS et RHEL incluent libs-cups en tant que dépendance de compilation. Cependant, la vulnérabilité n'est pas exploitable avec les seules bibliothèques clientes, à moins qu'un serveur d'impression basé sur OpenPrinting ne soit en cours d'exécution. RHEL et RHCOS n'ont pas cups-browsed activé par défaut, donc l'impact pour ceux-ci est fixé à 'Faible'"
Étant donné que BigID n'utilise aucune fonctionnalité liée aux imprimantes et ne modifie pas la configuration par défaut, il n'y a pas d'impact de ce CVE sur le produit BigID. En outre, le BigID Cloud n'expose pas le port UDP affecté, ce qui atténue complètement le vecteur d'attaque WAN décrit dans l'article.
Panne de Microsoft et de Crowdstrike
Détails de la vulnérabilité
Le vendredi 19 juillet 2024, deux pannes non liées ont été signalées, toutes deux affectant les services Microsoft. BigID n'a subi qu'un impact minimal sur ses services et ses opérations commerciales.
La première panne, qui a touché Azure, est due à un changement de configuration d'une partie des charges de travail dorsales d'Azure. Cela a provoqué une interruption entre les ressources de stockage et de calcul, entraînant des défaillances de connectivité qui ont affecté les services Microsoft 365 en aval. Les services se rétablissent lentement et des mises à jour sont disponibles à l'adresse https://status.cloud.microsoft/. Suite à cette panne, la disponibilité de https://docs.bigid.com/ a été quelque peu interrompue, mais elle est de nouveau en ligne et fonctionne comme prévu. Les services BigID restants, les appareils finaux et la dépendance à l'égard des partenaires ne sont pas affectés.
La deuxième panne est liée au fait que Crowdstrike a affiché un écran bleu de la mort (BSOD) après avoir installé la dernière mise à jour de son capteur Falcon. Le problème a été identifié, isolé et un correctif a été déployé auprès des clients de Crowdstrike. BigID n'utilise pas les produits Crowdstrike dans le cadre de ses activités commerciales et n'est donc pas concerné.
Flocon de neige
Détails de la vulnérabilité
Le vendredi 31 mai 2024, des chercheurs de Hudson Rock ont rapporté qu'un pirate informatique avait prétendu avoir ouvert une brèche dans Snowflake, affectant ainsi plusieurs organisations. Snowflake a rapidement enquêté sur ces rapports et n'a trouvé aucune preuve de compromission dans son environnement. Il a notifié tous les clients potentiellement affectés. BigID a suivi les actions recommandées par Snowflake et a enquêté sur les indicateurs de compromission (IoC) fournis. Nos mesures et contrôles de sécurité proactifs autour de notre compte Snowflake nous ont permis de ne pas être affectés par cet incident.
Avis de sécurité de XZ Utils
Détails de la vulnérabilité
Le vendredi 29 mars 2024, des chercheurs en sécurité ont découvert une porte dérobée malveillante intégrée à l'utilitaire de compression XZ. Cet utilitaire est largement utilisé dans les distributions Linux, y compris celles de Red Hat et Debian, et fait l'objet de la vulnérabilité CVE-2024-3094. Le code malveillant connu a été trouvé dans les versions 5.6.0 et 5.6.1, et les consommateurs ont été informés qu'ils devaient immédiatement passer à la version 5.4.6. BigID a terminé son processus d'enquête de sécurité et peut confirmer que nous ne sommes pas concernés par la vulnérabilité CVE-2024-3094.
Avis de sécurité de MongoDB
Détails de la vulnérabilité
Le 16 décembre, MongoDB a annoncé publiquement qu'elle avait subi un incident de sécurité dans ses systèmes d'entreprise, découvert le 13 décembre 2023. MongoDB n'en est encore qu'au stade de l'élaboration et a engagé des sociétés d'expertise judiciaire et des forces de l'ordre pour poursuivre son enquête. Dans le cadre de notre engagement en faveur de la transparence et de la sécurité, nous tenons à préciser que nous, BigID, exploitons MongoDB Atlas pour nos clients basés sur le cloud. Il est important de noter que l'accès à MongoDB Atlas est authentifié par un système distinct des systèmes d'entreprise de MongoDB, et que rien ne prouve que le système d'authentification du cluster Atlas ait été compromis. D'après les informations actuellement disponibles, MongoDB Atlas n'est pas concerné, car aucune vulnérabilité de sécurité n'a été identifiée dans les produits MongoDB à la suite de cet incident. Cependant, nous restons proactifs en restant à jour avec leur page d'alertes et en mettant à jour ce bulletin en conséquence avec toute autre mise à jour fournie par MongoDB.
Mise à jour : avis de sécurité de MongoDB
Le 18 décembre, Mongo a mis à jour le statut de son incident de sécurité pour le classer comme une attaque de phishing avec un haut degré de confiance. Il n'y a toujours aucune preuve d'un accès non autorisé aux clusters MongoDB Atlas ou au système d'authentification des clusters Atlas. L'enquête et la collaboration avec les autorités compétentes se poursuivent. MongoDB mettra à jour sa page d'alerte avec des informations pertinentes au fur et à mesure de l'avancement de l'enquête. MongoDB a fourni une liste d'indicateurs de compromission (IOC) avec les adresses IP pertinentes du service VPN Mullvad. BigID a mené une enquête rétrospective et n'a vu aucune de ces IP communiquer avec le service BigID Cloud.
Vulnérabilité zero-day de HTTP/2
Détails de la vulnérabilité
Le 12 octobre 2023, Cloudflare, Google et Amazon AWS ont révélé l'existence d'une nouvelle vulnérabilité zero-day appelée "HTTP/2 Rapid Reset". Cette attaque exploite une faiblesse du protocole HTTP/2 pour générer d'énormes attaques par déni de service distribué (DDoS) hyper-volumétriques. BigID a analysé notre environnement et bien que nous utilisions ce protocole, nous utilisons la protection Cloudflare HTTP DDoS Attack et il n'y a donc pas d'impact pour BigID.
Violation du système de gestion du support client Okta
Détails de la vulnérabilité
En octobre 2023, Okta a signalé une faille de sécurité dans son système de gestion de l'assistance à la clientèle, une petite partie des informations relatives à ses clients ayant été téléchargée par un pirate informatique. Fin novembre, Okta a confirmé que les informations de contact de tous ses clients avaient été compromises. Bien que BigID utilise Okta pour les services d'identité, nous utilisons également l'authentification multifactorielle pour nos systèmes critiques. Par conséquent, aucun environnement ou donnée client n'a été affecté par cette violation.
Vulnérabilité Zero-Day de Confluence CVE-2023-22515
Détails de la vulnérabilité
Le 4 octobre 2023, Atlassian a annoncé une faille de sécurité dans son logiciel Confluence Data Center et Server. BigID utilise Confluence en interne pour la collaboration et la gestion des connaissances ; cependant, nous utilisons Confluence Cloud hébergé par Atlassian qui n'est pas affecté par cette vulnérabilité.
Vulnérabilité de Datadog Import-in-the-Middle
Détails de la vulnérabilité
Le 6 août 2023, nous avons été informés d'une récente vulnérabilité découverte dans DataDog, un service que de nombreuses entreprises, dont la nôtre, utilisent pour la surveillance. Nous prenons ces annonces très au sérieux car elles peuvent avoir un impact sur notre service, ainsi que sur la sécurité et la confidentialité de vos données.
En réponse à cela, notre équipe de sécurité a travaillé avec diligence pour évaluer nos systèmes. Nous sommes heureux d'annoncer qu'un examen exhaustif de l'ensemble de notre base de code n'a révélé aucune indication des drapeaux qui rendraient notre code susceptible de présenter ces vulnérabilités. Par conséquent, nous sommes convaincus que notre utilisation de DataDog ne constitue pas une menace pour la sécurité de notre service ou de vos données. Toutefois, dans le cadre de notre engagement en faveur de la transparence et de la sécurité, nous souhaitons vous informer que nous utilisons des versions de dd-trace qui contiennent les vulnérabilités. Dans des circonstances normales, ces versions peuvent présenter des risques, mais nous n'avons trouvé aucune utilisation dangereuse dans nos dépôts.
À titre de mesure supplémentaire, nous transmettons cette information à toutes nos équipes de développement afin qu'elles soient pleinement conscientes de la situation et qu'elles prennent les mesures nécessaires pour passer à des versions qui ne contiennent pas les vulnérabilités susmentionnées. Nous continuerons à suivre de près la situation et prendrons toutes les mesures nécessaires pour maintenir le plus haut niveau de sécurité des données.
Vulnérabilité critique du transfert MOVEit CVE-2023-34362
Détails de la vulnérabilité
Le 1er juin, Progress Software a annoncé une faille de sécurité dans son logiciel MOVEit Transfer, utilisé pour déplacer des fichiers en toute sécurité. Ce problème permet à des personnes non autorisées d'accéder à la base de données du logiciel et de modifier les informations qui y sont stockées. Heureusement, BigID n'utilise pas le logiciel MOVEit et n'est donc pas directement concerné. Cependant, nous avons pris les devants en contactant nos fournisseurs pour savoir s'ils utilisent le logiciel et si nous pourrions être indirectement touchés. À ce jour, aucun de nos principaux fournisseurs n'a signalé de problème susceptible d'affecter BigID ou nos clients.
Leadership dans l'industrie
