Vulnérabilités notables de la semaine (du 20/04/24 – 26/04/24)

Cellule de réponses aux incidents de sécurité

Alerte de sécurité

Une alerte est en cours concernant de multiples vulnérabilités dans les produits Cisco
(CERTFR-2024-ALE-007) :
Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des vulnérabilités affectant les équipements de sécurité ASA et FTD.
Deux d’entre eux concernent les vulnérabilités CVE-2024-20353 et CVE-2024-20359 qui sont activement exploitées dans le cadre d’attaques ciblées.
La vulnérabilité CVE-2024-20359 permet à un utilisateur authentifié avec des droits administrateur d’exécuter du code arbitraire avec les privilèges root.
En effet, si l’attaquant parvient à écrire un fichier malveillant sur le système de fichier du disk0:, cela lui permet d’exécuter son code au prochain redémarrage de l’équipement. Cisco indique que l’attaquant peut exploiter la vulnérabilité CVE-2024-20353 pour déclencher son redémarrage.
Dans son billet de blogue, Cisco Talos détaille l’historique des exploitations et indique que les premières infections constatées remontent à début janvier 2024.
L’éditeur indique ne pas avoir connaissance du vecteur initial d’infection. Toutefois une fois sur l’équipement, l’attaquant exploite ces deux vulnérabilités pour mettre en place un implant, nommé Line Runner par Talos, qui est une porte dérobée persistante.
La présence d’un autre implant, Line Dancer, a été constaté sur des équipements compromis.

Celui-ci est présent uniquement en mémoire et permet à l’attaquant :

  • de désactiver les journaux d’activité système ;
  • de récupérer des éléments de configuration ;
  • d’effectuer et d’exfiltrer des captures réseaux ;
  • d’exécuter des commandes arbitraires ;
  • de s’insérer dans le processus de vidage après erreur (crash dump) afin de réduire la trace de son activité ;
  • de s’insérer dans le processus d’authentification, authaurisation et tracabilité (Authentication, Authorization and Accounting, AAA) afin de contourner ces mécanismes.

Cisco conseille dans un premier temps d’appliquer les mises à jour de sécurité. Avant de mener les actions d’investigations et de remédiations préconisées par Talos, le CERT-FR recommande de déconnecter l’équipement d’Internet.
Talos insiste sur le fait de ne pas redémarrer l’équipement ou tenter de récupérer une image mémoire si les investigations initiales montrent une modification des droits d’exécution de certaines zones mémoire.

Bulletins de Sécurités

Belden [SCADA] :

  • Hirschmann HiEOS LRS11 (CERTFR-2024-AVI-0349): Une vulnérabilité a été découverte dans les produits Belden. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité..
    Mise à jour: Disponible

Cisco :

  • Cisco ASA et FTD (CERTFR-2024-AVI-0347): De multiples vulnérabilités ont été découvertes dans les produits Cisco. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un déni de service à distance.
    Cisco indique que les vulnérabilités CVE-2024-20353 et CVE-2024-20359 sont activement exploitées dans le cadre d’attaques ciblées.
    Mise à jour: Disponible

Google :

  • Chrome (CERTFR-2024-AVI-0343) : De multiples vulnérabilités ont été découvertes dans les produits Google Chrome.
    Mise à jour: Disponible

IBM :

  • IBM Sterling Connect:Direct, WebSphere RS et SRR et Db2  (CERTFR-2024-AVI-0350):
    De multiples vulnérabilités ont été découvertes dans les produits IBM. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.
    Mise à jour: Disponible

LINUX :

  • Noyau Linux de RedHat (CERTFR-2024-AVI-0353):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux de Red Hat. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.
    Mise à jour: Disponible
  • Noyau Linux de SUSE (CERTFR-2024-AVI-0351):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux de SUSE. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, une élévation de privilèges et une atteinte à la confidentialité des données.
    Mise à jour: Disponible
  • Noyau Linux d’Ubuntu (CERTFR-2024-AVI-0352):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux d’Ubuntu. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et une atteinte à la confidentialité des données.
    Mise à jour: Disponible
  • Noyau Linux Debian (CERTFR-2024-AVI-0334):
    De multiples vulnérabilités ont été découvertes dans le noyau Linux de Debian. Elles permettent à un attaquant de provoquer un déni de service, une atteinte à la confidentialité des données et une élévation de privilèges.
    Mise à jour: Disponible

Microsoft :

  • Microsoft Edge (CERTFR-2024-AVI-0339) : Une vulnérabilité a été découverte dans Microsoft Edge. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
    Mise à jour: Disponible

Mitel :

  • MiContact Center Business (CERTFR-2024-AVI-0344): De multiples vulnérabilités ont été découvertes dans les produits Mitel. Elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS).
    Mise à jour: Disponible

MongoDB :

  • MongoDB Compass  (CERTFR-2024-AVI-0348): Une vulnérabilité a été découverte dans les produits MongoDB. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données et une atteinte à l’intégrité des données.
    Mise à jour: Disponible

Moxa [SCADA] :

  • séries AIG-301 (CERTFR-2024-AVI-0340): De multiples vulnérabilités ont été découvertes dans les produits Moxa. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible

Mozilla :

  • Thunderbird (CERTFR-2024-AVI-0337): De multiples vulnérabilités ont été découvertes dans Mozilla Thunderbird. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
    Mise à jour: Disponible

NagiosXI :

  • NagiosXI  (CERTFR-2024-AVI-0342): De multiples vulnérabilités ont été découvertes dans NagiosXI. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur et une atteinte à l’intégrité des données.
    Mise à jour: Disponible

OwnCloud :

  • ownCloud 10, Infinite Scale et la version pour Android(CERTFR-2024-AVI-0336): De multiples vulnérabilités ont été découvertes dans les produits OwnCloud. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et un déni de service à distance.
    Mise à jour: Disponible

Palo Alto Networks :

  • Cortex XDR Agent (CERTFR-2024-AVI-0345) : Une preuve de concept a été publiée affectant l’agent Cortex XDR de Palo Alto Networks. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité.
    Mise à jour: Disponible partiellement
    Vérifier que votre agent dispose de la mise à jour CU-1320
    Attention:
    Aucune mise à jour n’est prévue pour l’agent Cortex XDR 5.0 car il ne dispose pas du module Behavioral Threat Protection nécessaire pour détecter cette technique.

Siemens [SCADA]:

  • RUGGEDCOM APE1808 (CERTFR-2024-AVI-0338): Une vulnérabilité a été découverte dans Siemens RUGGEDCOM APE1808. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible

SolarWinds :

  • SolarWinds Platform (CERTFR-2024-AVI-0335) : Une vulnérabilité a été découverte dans SolarWinds Platform. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
    Mise à jour: Disponible

Synacor Zimbra Collaboration :

  • Zimbra Collaboration (CERTFR-2024-AVI-0341): De multiples vulnérabilités ont été découvertes dans Synacor Zimbra Collaboration. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, un contournement de la politique de sécurité, une injection de code indirecte à distance (XSS)
    Mise à jour: Disponible

GitLab :

  • GitLab CE(CERTFR-2024-AVI-0346) : De multiples vulnérabilités ont été découvertes dans GitLab. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et un déni de service à distance.
    Mise à jour: Disponible

Pour la liste complète des Avis du CERT-FR veuillez suivre ce lien : www.cert.ssi.gouv.fr/avis/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *