Le bug report de janvier ne s’est pas fait attendre ! Si les fêtes de fin d’années semblent déjà loin, sachez qu’entre deux copieux repas, l’équipe Trellix n’a pas cessé sa chasse aux vulnérabilités qui se baladent dans la « cyber-nature ».
Comme chaque mois, voici les nouvelles découvertes :
- CVE-2022-47966 ManageEngine OnPremise
Il s’agit d’une vulnérabilité de la supply chain dans le mécanisme de connexion d’une gamme de produit ManageEngine, un logiciel de gestion informatique d’entreprise, qui peut conduire (et a conduit) à l’exécution de code à distance. Cette version contient un problème suivi depuis 2008 déjà.
Pourquoi c’est important ? Les produits ManageEngine sont utilisés par près de 10 000 entreprises dans le monde entier, dans tous les secteurs, y compris ceux qui traitent des informations très sensibles comme les soins de santé, les services financiers et le gouvernement.
- CVE-2022-44877 Control Web Panel
Il s’agit d’une vulnérabilité d’exécution de code à distance non authentifiée dans Control Web Panel (CWP), une interface graphique gratuite pour la gestion des systèmes Linux. Cette vulnérabilité prend la forme d’une injection de commande Linux dans la page de connexion de CWP et à chaque fois qu’une tentative de connexion incorrecte est reçue par CWP, certaines informations peuvent être extraites et ajoutées à un fichier local afin de conserver des traces.
Pourquoi c’est important ? La page d’accueil de CWP affirme qu’il y a 35 000 serveurs utilisant CWP, mais ce nombre pourrait être sous-estimé.
- CVE-2023-21674 Windows ALPC
Il s’agit d’une vulnérabilité affectant les dernières versions de Windows, tant pour les serveurs que pour les ordinateurs de bureau. Étant donné qu’un accès local est nécessaire pour exploiter CVE-2023-21674, cette vulnérabilité est susceptible d’être utilisée dans le cadre d’une chaîne d’attaque.
Pourquoi c’est important ? Cette vulnérabilité affecte presque tout le monde, Windows sur le lieu de travail reste la norme, et les serveurs Windows détiennent également une part importante du marché.