Ça y est, le rapport de bug du mois de mai est enfin là ! Alors que le soleil brille et que la nature est en pleine effervescence, les experts Trellix ne se laissent pas distraire par les beaux jours. Ils continuent à explorer sans relâche les méandres des vulnérabilités.
Tribune – Voici donc les toutes dernières découvertes du Centre de recherche avancée Trellix :
- CVE-2023-24932: Secure Boot à Il s’agit d’une vulnérabilité affectant, Secure Boot, une technologie utilisée dans les systèmes d’exploitation les plus récents de Windows et qui permet un démarrage (en théorie) sécurisé. Les attaquants exploitent cette faille en installant le malware BlackLotus avant même que le système d’exploitation ne charge. Il est difficilement détectable par les antivirus. Il persiste même après une réinstallation du système d’exploitation. Cette vulnérabilité est une réelle menace, comme en témoigne son prix élevé ($5 000) sur les forums de piratage. Bien que BlackLotus soit difficile à détecter par des moyens conventionnels, il n’opère toutefois pas sans laisser des traces et Microsoft a publié une directive expliquant comment identifier les différents indicateurs de compromission.
- CVE-2023-28771: Zyxel Firewalls & VPN à Cette vulnérabilité concerne les pare-feu et dispositifs VPN de Zyxel. Cette vulnérabilité est le résultat d’une “gestion incorrecte des messages d’erreur” et permet à des attaquants d’obtenir une exécution de code à distance, le tout sans nécessiter d’authentification. Plus de 66 000 produits sont concernés, et les cibles principales sont les petites et moyennes entreprises. Des attaques exploitant cette vulnérabilité ont déjà été signalées, notamment pour créer un botnet Mirai ensuite utilisé dans des attaques DDoS. Zyxel a publié des correctifs pour atténuer la vulnérabilité et si votre organisation utilise des produits ou microprogrammes qui se trouve sur la liste publiée par Zykel, il est important de les appliquer sans tarder.
- CVE-2023-2868: Barracuda Email Security Gateways (ESG) à Cette vulnérabilité d’injection de commandes concerne ironiquement les passerelles de sécurité mails de Barracuda et elle est exploitée depuis sept mois par des acteurs malveillants. Elle est due à une mauvaise désinfection des pièces jointes issues de mails, notamment les fichiers .tar. Cette vulnérabilité concerne 200 000 organisations à travers le monde qui ont recours aux produits Barracuda. Heureusement, Barracuda a fourni directement aux clients concernés, après les avoir contactés, les instructions nécessaires afin de résoudre le problème.
