L’agence américaine de cybersécurité et de sécurité des infrastructures a ajouté lundi deux failles de sécurité, dont le bogue d’exécution de code à distance récemment divulgué affectant les pare-feu Zyxel, à son catalogue de vulnérabilités exploitées connues, citant des preuves d’exploitation active. Suivie sous le nom de CVE-2022-30525, la vulnérabilité est classée 9,8 pour la gravité et concerne une faille d’injection de commande dans certaines versions du pare-feu Zyxel qui pourrait permettre à un adversaire non authentifié d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent. Les appareils concernés incluent – USG FLEX 100, 100W, 200, 500, 700 USG20-VPN, USG20W-VPN ATP 100, 200, 500, 700, 800 et Série VPN Le problème, pour lequel des correctifs ont été publiés par la firme taïwanaise fin avril (ZLD V5.30), est devenu public le 12 mai à la suite d’un processus de divulgation coordonné avec Rapid7.

À peine un jour plus tard, la Fondation Shadowserver a déclaré qu’elle avait commencé à détecter les tentatives d’exploitation, la plupart des appareils vulnérables étant situés en France, en Italie, aux États-Unis, en Suisse et en Russie. CVE-2022-22947 a également été ajoutée au catalogue par CISA, une autre vulnérabilité d’injection de code dans Spring Cloud Gateway qui pourrait être exploitée pour permettre une exécution à distance arbitraire sur un hôte distant au moyen d’une requête spécialement conçue. La vulnérabilité est notée 10 sur 10 sur le système de notation des vulnérabilités CVSS et a depuis été corrigée dans les versions 3.1.1 ou ultérieures de Spring Cloud Gateway et 3.0.7 ou ultérieures en mars 2022.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *