L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté vendredi 10 nouvelles vulnérabilités activement exploitées à son Catalogue des vulnérabilités exploitées connues (KEV)y compris une faille de sécurité très grave affectant le logiciel d’automatisation industrielle de Delta Electronics.
Le problème, suivi comme CVE-2021-38406 (score CVSS : 7,8), impacte DOPSoft 2 versions 2.00.07 et antérieures. Une exploitation réussie de la faille peut conduire à l’exécution de code arbitraire.
« Delta Electronics DOPSoft 2 manque de validation appropriée des données fournies par l’utilisateur lors de l’analyse de fichiers de projet spécifiques (validation d’entrée incorrecte), ce qui entraîne une écriture hors limites qui permet l’exécution de code », a déclaré CISA dans une alerte.
Il convient de noter que CVE-2021-38406 a été divulgué à l’origine dans le cadre d’un avis sur les systèmes de contrôle industriels (ICS) publié en septembre 2021.
Cependant, aucun correctif ne corrige la vulnérabilité, la CISA notant que « le produit concerné est en fin de vie et doit être déconnecté s’il est toujours utilisé ». Les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues de suivre la directive d’ici le 15 septembre 2022.
Peu d’informations sont disponibles sur la nature des attaques qui exploitent le bogue de sécurité, mais un rapport récent de Palo Alto Networks Unit 42 souligné cas d’attaques dans la nature tirant parti de la faille entre février et avril 2022.
Le développement ajoute du poids à l’idée que les adversaires exploitent plus rapidement les vulnérabilités nouvellement publiées lorsqu’elles sont divulguées pour la première fois, ce qui conduit à des tentatives d’analyse aveugles et opportunistes qui visent à tirer parti des correctifs retardés.
Ces attaques suivent souvent une séquence d’exploitation spécifique qui implique des shells Web, des crypto-mineurs, des botnets et des chevaux de Troie d’accès à distance (RAT), suivis par des courtiers d’accès initiaux (IAB) qui ouvrent ensuite la voie aux ransomwares.
Parmi les autres failles activement exploitées ajoutées à la liste figurent les suivantes –
- CVE-2022-26352 – Vulnérabilité de téléchargement sans restriction dotCMS de fichier
- CVE-2022-24706 – Apache CouchDB Insecure Default Initialization of Resource Vulnerability
- CVE-2022-24112 – Vulnérabilité de contournement d’authentification Apache APISIX
- CVE-2022-22963 – Vulnérabilité d’exécution de code à distance de VMware Tanzu Spring Cloud Function
- CVE-2022-2294 – Vulnérabilité de débordement de tampon de tas WebRTC
- CVE-2021-39226 – Vulnérabilité de contournement de l’authentification Grafana
- CVE-2020-36193 – Vulnérabilité de résolution de lien incorrecte dans PEAR Archive_Tar
- CVE-2020-28949 – PEAR Archive_Tar Désérialisation de la vulnérabilité des données non fiables
Faille iOS et macOS ajoutée à la liste
Une autre faille de haute gravité ajoutée au catalogue KEV est CVE-2021-31010 (score CVSS : 7,5), un problème de désérialisation dans le composant Core Telephony d’Apple qui pourrait être exploité pour contourner les restrictions du bac à sable.
Le géant de la technologie a corrigé la lacune d’iOS 12.5.5, d’iOS 14.8, d’iPadOS 14.8, de macOS Big Sur 11.6 (et de la mise à jour de sécurité 2021-005 Catalina) et de watchOS 7.6.2 sorti en septembre 2021.
Bien qu’il n’y ait aucune indication que la faille était exploitée à l’époque, le géant de la technologie semble avoir révisé en silence ses avis le 25 mai 2022 pour ajouter la vulnérabilité et confirmer qu’elle avait effectivement été abusée lors d’attaques.
« Apple était au courant d’un rapport selon lequel ce problème aurait pu être activement exploité au moment de la publication », a noté le géant de la technologie, attribuant la découverte à Citizen Lab et Google Project Zero.
La mise à jour de septembre est également remarquable pour la correction de CVE-2021-30858 et CVE-2021-30860, qui ont toutes deux été employées par NSO Group, les fabricants du logiciel espion Pegasus, pour contourner les fonctionnalités de sécurité des systèmes d’exploitation.
Cela soulève la possibilité que CVE-2021-31010 ait pu être associé aux deux failles susmentionnées dans une chaîne d’attaque pour échapper au bac à sable et réaliser une exécution de code arbitraire.