La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée trois failles de sécurité à ses vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’exploitation active.
La liste des vulnérabilités est ci-dessous –
- CVE-2022-35914 (Score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Teclib GLPI
- CVE-2022-33891 (Score CVSS : 8,8) – Vulnérabilité d’injection de commande Apache Spark
- CVE-2022-28810 (Score CVSS : 6,8) – Vulnérabilité d’exécution de code à distance Zoho ManageEngine ADSelfService Plus
Le plus critique des trois est CVE-2022-35914qui concerne une vulnérabilité d’exécution de code à distance dans la bibliothèque tierce htmlawed présente dans Teclib GLPIun progiciel open source de gestion des ressources et de l’informatique.
Les détails exacts entourant la nature des attaques sont inconnus, mais la Fondation Shadowserver en octobre 2022 indiqué qu’il voit des tentatives d’exploitation contre ses pots de miel.
Depuis lors, une preuve de concept (PoC) en une ligne basée sur cURL a été mise à disposition sur GitHub et un scanner « de masse » a été mis en vente, a déclaré Jacob Baines, chercheur en sécurité chez VulnCheck. a dit en décembre 2022.
De plus, les données recueillies par GreyNoise ont révélé 40 adresses IP malveillantes des États-Unis, des Pays-Bas, de Hong Kong, d’Australie et de Bulgarie, tentant d’abuser de la lacune.
La deuxième faille est une vulnérabilité d’injection de commande non authentifiée dans Apache Spark qui a été exploitée par le botnet Zerobot pour coopter des appareils sensibles dans le but de mener des attaques par déni de service distribué (DDoS).
Enfin, s’ajoute également au catalogue KEV un faille d’exécution de code à distance dans Zoho ManageEngine ADSelfService Plus qui a été corrigé en avril 2022.
Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants
Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !
« Multiple Zoho ManageEngine ADSelfService Plus contient une vulnérabilité non spécifiée permettant l’exécution de code à distance lors de la modification ou de la réinitialisation d’un mot de passe », a déclaré la CISA.
La société de cybersécurité Rapid7, qui découvert le bogue, a déclaré qu’il a détecté des tentatives d’exploitation actives par des acteurs de la menace pour « exécuter des commandes arbitraires du système d’exploitation afin de gagner en persistance sur le système sous-jacent et de tenter de pivoter davantage dans l’environnement ».
Le développement intervient alors que la société de sécurité API Wallarm a dit il a trouvé des tentatives d’exploitation en cours de deux failles de VMware NSX Manager (CVE-2021-39144 et CVE-2022-31678) depuis décembre 2022 qui pourraient être exploitées pour exécuter du code malveillant et siphonner des données sensibles.