L’été est enfin arrivé, et avec lui, son lot de vulnérabilités qui donnent des frissons dans le dos ! Cependant, pas d’inquiétudes, l’équipe du Centre de recherche avancée Trellix a regroupé toutes les informations sur ces nouvelles menaces dans le rapport sur les bugs du mois de juin dont vous trouverez plus de détails ci-dessous.
- CVE-2023-20887:Cette vulnérabilité concerne le produit Aria Operations for Networks (AOfN) développé par VMware, un outil de surveillance des infrastructures cloud et des réseaux.Pour exploiter cette vulnérabilité, un attaquant intègre la commande à injecter dans le corps d’une requête RPC et profite d’une mauvaise configuration du serveur web nginx pour rediriger la requête malveillante directement vers le backend Thrift vulnérable. La commande injectée est ensuite insérée dans la chaîne de format intéressante sudo ls -tp %s/sb.%s.%s*.tar.gz | … et exécutée immédiatement via l’une des fonctions de génération de processus. Toutes les entreprises utilisant Aria Operations for Networks pour la surveillance du cloud sont concernées. Afin d’éviter cette vulnérabilité, il est essentiel mettre à jour toutes les instances AOfN en utilisant des versions 6.10 ou plus récentes. Les fichiers et les instructions pour les mises à jour ont également été publiées.
- CVE-2023-27997 : Cette vulnérabilité fait référence à un dépassement de tampon basé sur le tas (heap-based buffer overflow) dans le composant SSL VPN de FortiOS et FortiProxy, affectant une multitude de versions des deux technologies de Fortinet. Grâce à une orchestration sophistiquée de requêtes HTTP successives, un attaquant peut utiliser cette vulnérabilité pour parvenir à une exécution de code à distance. En raison de la popularité des produits Fortinet, des milliers d’entreprises sont potentiellement concernées et plusieurs attaques ont été signalées depuis le 12 juin. Pour faire à cette menace, la première chose à faire est mettre à jour le système. Fortinet propose de désactiver SSL-VPN comme solution temporaire et a également publié un avis PSIRT pour vous permettre de vérifier si votre équipement est sur la liste de ceux qui sont vulnérables.
- CVE-2023-34362 : Cette vulnérabilité concerne les logiciels de partage de fichiers MOVEit Transfer et MOVEit Cloud. Elle permet une injection SQL, offrant un potentiel d’accès à distance à du code non authentifié. L’exploitation de cette vulnérabilité peut causer des dommages importants en altérant la base de données et en obtenant des privilèges d’administrateur. Si votre organisation utilise MOVEit Transfer/Cloud dans le cloud ou en dehors, toutes les preuves disponibles indiquent que CVE-2023-34362 est utilisé à des fins d’attaque de ransomware. Pour faire face à cette vulnérabilité, les instructions de mise à jour du système ont été publiées par Progress. Il est également conseillé de vérifier si votre système a été compromis dans les 90 derniers jours. Vous pouvez pour cela utiliser le guide de détection développé par CISA.
Mettez à jour votre système. Suivez les instructions de Progress pour le faire. Vérifiez les journaux système pour toute intrusion des 30 derniers jours. Utilisez les méthodes de détection fournies par CISA pour détecter les attaques de ransomware.