L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté vendredi trois failles de sécurité à ses vulnérabilités exploitées connues (KEV), sur la base de preuves d’exploitation active.
Le trois vulnérabilités sont les suivants –
- CVE-2023-28432 (Score CVSS – 7,5) – Vulnérabilité de divulgation d’informations MinIO
- CVE-2023-27350 (Score CVSS – 9,8) – Vulnérabilité de contrôle d’accès incorrect PaperCut MF/NG
- CVE-2023-2136 (Score CVSS – TBD) – Vulnérabilité de débordement d’entiers dans Google Chrome Skia
« Dans un déploiement en cluster, MinIO renvoie toutes les variables d’environnement, y compris MINIO_SECRET_KEY et MINIO_ROOT_PASSWORD, ce qui entraîne la divulgation d’informations », expliquent les responsables de MinIO. a dit dans un avis publié le 21 mars 2023.
Les données recueillies par GreyNoise montrent que jusqu’à 18 adresses IP malveillantes uniques des États-Unis, des Pays-Bas, de la France, du Japon et de la Finlande ont tenté d’exploiter la faille au cours des 30 derniers jours.
La société de renseignements sur les menaces, dans un alerte publié à la fin du mois dernier, a également noté comment un implémentation de référence fourni par OpenAI aux développeurs pour intégrer leurs plugins à ChatGPT s’appuyait sur une ancienne version de MinIO vulnérable à CVE-2023-28432.
« Bien que la nouvelle fonctionnalité publiée par OpenAI soit un outil précieux pour les développeurs qui souhaitent accéder aux données en direct de divers fournisseurs dans leur intégration ChatGPT, la sécurité doit rester un principe de conception de base », a déclaré GreyNoise.
Un bogue critique d’exécution de code à distance affectant le logiciel de gestion d’impression PaperCut qui permet aux attaquants distants de contourner l’authentification et d’exécuter du code arbitraire a également été ajouté au catalogue KEV.
La vulnérabilité a été corrigée par le fournisseur le 8 mars 2023, avec la sortie des versions 20.1.7, 21.2.11 et 22.0.9 de PaperCut MF et PaperCut NG. Initiative Zero Day, qui signalé le numéro du 10 janvier 2023 devrait publier des détails techniques supplémentaires le 10 mai 2023.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Selon un mise à jour partagée par la société basée à Melbourne plus tôt cette semaine, des preuves d’exploitation active de serveurs non corrigés sont apparues dans la nature vers le 18 avril 2023.
Société de cybersécurité Arctic Wolf a dit il « a observé une activité d’intrusion associée à un serveur PaperCut vulnérable où l’outil RMM Synchro MSP a été chargé sur un système victime ».
Enfin, ajoutée à la liste des failles activement exploitées, une vulnérabilité de Google Chrome affectant la bibliothèque graphique Skia 2D pourrait permettre à un acteur malveillant d’effectuer une évasion du bac à sable via une page HTML spécialement conçue.
Il est recommandé aux agences du Federal Civilian Executive Branch (FCEB) aux États-Unis de corriger les vulnérabilités identifiées d’ici le 12 mai 2023, afin de sécuriser leurs réseaux contre les menaces actives.
