SonicWall, Pulse Secure : des vulnérabilités critiques déjà exploitées
Le premier propose des correctifs depuis le début du mois. Pour le second, il faudra attendre début mai. Mais dans les deux cas, les attaquants n’attendent pas et ont commencé à exploiter les vulnérabilités.
Les semaines se suivent et se ressemblent, rappelant régulièrement l’importance, parfois critique, de la gestion des correctifs. Début avril, SonicWall dévoilait trois vulnérabilités inédites pour sa passerelle de sécurité de la messagerie, les CVE-2021-20021, CVE-2021-20022 et CVE-2021-20023.
L’équipementier vient de dévoiler que celles-ci sont exploitées et qu’il a lui-même été affecté lors de leur exploitation par des attaquants. Dans la foulée, il enjoint ses clients à appliquer les correctifs disponibles sans attendre.
Ces vulnérabilités affectent l’outil Email Security 10.0.1 et plus, dans ses versions Windows et appliances physiques et virtuelles, ainsi que Hosted Email Security 10.0.1 et plus. Les versions 7.0.0 à 9.2.2 sont également concernées, mais elles ne sont plus supportées.
Selon FireEye, qui s’est penché sur ces vulnérabilités et leur exploitation, et qui l’explique dans un billet de blog, elles peuvent être enchaînées pour infiltrer un environnement et s’y déplacer latéralement.
La situation est peut-être encore plus préoccupante du côté des appliances VPN de Pulse Secure. Une vulnérabilité inédite les affecte et s’avère déjà exploitée par des attaquants, contre des administrations, des organisations financières, ou encore des entreprises du secteur de la défense.
Référencée CVE-2021-22899, cette vulnérabilité permet de contourner les mécanismes d’authentification en place et d’exécuter du code arbitraire. Elle a reçu la note de criticité maximum sur l’échelle CVSS, et concerne PCS 9.0R3 (Pulse Connect Secure) et plus. Selon Pulse Secure, peu de clients sont à ce stade concernés. Mais il y a fort à parier que cette vulnérabilité éveillera rapidement l’intérêt d’un grand nombre d’acteurs malveillants.
Le gouvernement fédéral américain prend en tout cas le sujet suffisamment au sérieux pour avoir émis une directive urgente, en début de semaine, exigeant de toutes les administrations publiques qu’elles surveillent leurs équipements Pulse Security. L’équipementier propose un outil pour vérifier si ses appliances VPN sont affectées ou non. Souci : des chercheurs se sont aperçus qu’il pouvait être utilisé pour déterminer de manière passive les versions de firmware PCS sur les appliances accessibles en ligne.