icetray - Fotolia
Une poignée de vulnérabilités à corriger sans attendre (si ce n’est pas déjà fait)
Elles se suivent inlassablement, sans forcément se ressembler. Mais elles peuvent conduire à des exploitations aux conséquences très significatives, entre vol d’identifiants et déploiement de ransomwares, par exemple. Dans un monde idéal, les correctifs auraient déjà dû être appliqués.
Les autorités américaines ont tout récemment dressé une liste des vulnérabilités les plus utilisées par les cyberdélinquants pour leurs attaques, depuis 2016, mais aussi plus spécifiquement cette année.
Depuis, néanmoins, d’autres se sont déjà invitées sur le devant de la scène. Si pour certains produits, la menace d’exploitation de vulnérabilités est loin d’être nouvelle, cette liste souligne au moins l’importance de hiérarchisation des efforts de gestion des correctifs – et concernant certains, leur urgence.
Serveurs VPN
Certains des systèmes d’accès distant au système d’information de Pulse Secure sont affectés par une vulnérabilité découverte en 2019 et référencée CVE-2019-11510. Les correctifs sont disponibles depuis plus d’un an. Mais tous les utilisateurs concernés ne les ont pas installés immédiatement. Ainsi, Travelex exposait encore, fin décembre dernier, un service VPN signé Pulse Secure vulnérable.
Mais cela ne s’arrête pas là. Fin août 2019, les autorités lançaient l’alerte sur le Vieux Continent, en soulignant l’existence de vulnérabilités présentes dans les serveurs de réseau privé virtuel signés Fortinet, Palo Alto Networks et Pulse Secure. Celles-ci avaient été divulguées dans le courant de l’été. Les équipes du Cert gouvernemental français relevaient alors que « pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance exploitant ces vulnérabilités ».
Citrix Netscaler
Mi-décembre, Citrix publiait un bulletin d’alerte pour son contrôleur de fourniture d’applications (ADC) et sa passerelle. Et pas seulement quelques versions isolées : la vulnérabilité référencée CVE-2019-19781, découverte par les équipes de Positive Technologies, « affecte toutes les versions de produit supportées et toutes les plateformes supportées » de Citrix ADC/NetScaler ADC et Gateway/NetScaler Gateway. Personne, donc, n’y échappe pour ces systèmes qui ont naturellement vocation à être exposés en ligne. Sans surprise, l’exploitation de cette vulnérabilité a rapidement commencé.
Victime du ransomware Ryuk mi-février, le Danois ISS a, un temps, exposé un système affecté par la vulnérabilité dite Shitrix, même s’il n’est pas dit que cela soit le vecteur d’intrusion. À l’inverse, Bretagne Telecom indiquait fin février avoir été attaqué avec succès quelques semaines plus tôt, via l’exploitation de cette vulnérabilité. Heureusement, l’opérateur s’en est tiré sans trop de peine.
Selon FireEye, la vulnérabilité Shitrix est utilisée par le groupe APT41, soupçonné d’être lié au gouvernement chinois. Celui-ci exploiterait aussi des vulnérabilités présentes dans les routeurs Cisco (CVE-2019-1652 et CVE-2019-1653) ou encore Zoho ManageEngine Desktop Central (CVE-2020-10189).
Framework SaltStack
En mars, plusieurs vulnérabilités ont été découvertes dans les versions 2019 et 2020 de la solution SaltStack, référencées CVE-2020-11651 et CVE-2020-11652. Le Cert-FR a relayé l’information. Mais elles ont vite été exploitées dans le cadre de plusieurs brèches. Début mai, c’est la distribution Android LineageOS qui en a fait la malheureuse expérience, de même que l’autorité de certification DigiCert. L’éditeur Xen Orchestra a également été touché, de même que la plateforme de blogging Ghost, ou encore le prestataire de services nantais Code 42.
La semaine dernière, on apprenait que l’exploitation des vulnérabilités affectant SaltStack avait été utilisée pour compromettre six serveurs chez Cisco.
Le serveur de messagerie Exim
Celui-ci n’est pas étranger des vulnérabilités. Le Cert-FR a alerté régulièrement sur celles-ci au cours des dernières années. Des bulletins d’alertes ont ainsi été publiés en 2017, 2018 et encore 2019. Fin mai, la NSA américaine a alerté sur l’exploitation de la vulnérabilité CVE-2019-10149 par des pirates soutenus par le gouvernement russe. Mais selon RiskIQ, ceux-ci profitent également des vulnérabilités CVE-2019-15846 et CVE-2019-16928, affectant différentes versions d’Exim.
Sophos
Pare-feu Sophos XG
Fin avril, Sophos a publié en urgence un correctif pour une vulnérabilité inédite – affectant les pare-feu de sa gamme XG – mais déjà exploitée et basée sur une injection SQL.
Cette vulnérabilité référencée CVE-2020-12271 a notamment fait l’objet de tentatives d’exploitation pour le déploiement du cheval de Troie Asnarök, afin de dérober des données d’authentification provenant de systèmes LDAP.
Implémentation du protocole SMB
L’histoire du protocole SMB est marquée par de multiples vulnérabilités plus ou moins critiques. Et cela pourrait bien ne pas s’arrêter. Début mars, Microsoft a publié une alerte sur une vulnérabilité touchant la gestion de la compression dans la version 3.11 de son implémentation de SMB. Mais voilà, référencée CVE-2020-0796, cette vulnérabilité permet une exécution de code à distance. Pour le Cert-FR, il est aujourd’hui « urgent d’appliquer les mises à jour si cela n’a pas encore été fait ».
Sharepoint
Dévoilée il y a plus d’un an, la vulnérabilité CVE-2019-0604 affecte Microsoft Sharepoint et permet d’exécuter du code arbitraire à distance. Très vite, des campagnes d’attaques ciblées l’exploitant ont été rapportées. Là encore, et conformément à son habitude, le Cert-FR a relayé l’alerte.
Début février cette année, Kevin Beaumont indiquait observer une exploitation « croissante » de cette vulnérabilité.
La liste ne s’arrête malheureusement pas là. Il faut ainsi compter également avec la vulnérabilité CVE-2020-1938, qui affecte le connecteur AJP d’Apache Tomcat, dite Ghostcat, ou encore la CVE-2020-0688 touchant les serveurs Exchange : celle-ci permet de prendre le contrôle complet du serveur après authentification réussie avec des identifiants préalablement dérobés. Et c’est sans compter les diverses vulnérabilités affectant Oracle WebLogic ou encore certains services RDP.