La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a ajouté quatre vulnérabilités à son catalogue de vulnérabilités exploitées connues, exhortant les agences fédérales et les grandes organisations à appliquer les mises à jour de sécurité disponibles dès que possible.
Parmi elles, des failles impactant Microsoft. NET Framework et Apache OFBiz (Open For Business), deux applications logicielles largement utilisées.
Bien que l’agence ait marqué ces failles comme activement exploitées dans des attaques, elle n’a pas fourni de détails spécifiques sur l’activité malveillante, qui la mène et contre qui.
La première faille, suivie sous CVE-2024-29059, est un bogue de divulgation d’informations de gravité élevée (score CVSS v3: 7,5) dans le.NET Framework découvert par CODE WHITE et divulgué à Microsoft en novembre 2023.
Microsoft a clôturé le rapport de divulgation en décembre 2023, déclarant: « après une enquête minutieuse, nous avons déterminé que ce cas ne respectait pas notre barre pour un service immédiat. »
Cependant, Microsoft a finalement corrigé la faille dans les mises à jour de sécurité de janvier 2024, mais par erreur, il n’a pas émis de CVE ni reconnu les chercheurs.
En février, CODE WHITE a publié des détails techniques et un exploit de preuve de concept pour la fuite d’URI d’objets internes, qui peuvent être utilisés pour effectuer des attaques à distance. NET,
Microsoft a finalement publié un avis pour cette faille sous CVE-2024-29059 en mars 2024 et a attribué la découverte aux chercheurs.
La faille Apache OFBiz est CVE-2024-45195, une vulnérabilité d’exécution de code à distance de gravité critique (score CVSS v3: 9,8) affectant OFBiz avant le 18.12.16.
La faille est causée par une faiblesse de navigation forcée qui expose des chemins restreints à des attaques de requêtes directes non authentifiées.
La faille a été découverte à l’origine par Rapid7, qui a également présenté un exploit de preuve de concept (PoC), tandis que le fournisseur l’a corrigée en septembre 2024.
Il est recommandé aux utilisateurs de mettre à niveau vers Apache OFBiz version 18.12.16 ou ultérieure, ce qui résout le risque particulier.
Maintenant, CISA exhorte les agences et organisations potentiellement touchées à appliquer les correctifs et les mesures d’atténuation disponibles d’ici le 25 février 2025, ou à cesser d’utiliser les produits.
Les deux autres failles ajoutées à KEV cette fois sont CVE-2018-9276 et CVE-2018-19410, qui ont toutes deux un impact sur le logiciel de surveillance réseau PRTG de Paessler. Les problèmes ont été corrigés dans la version 18.2.41.1652, publiée en juin 2018.
La première faille est un problème d’injection de commandes du système d’exploitation, et la seconde est une vulnérabilité d’inclusion de fichiers locaux. La date limite de correction pour ceux-ci a également été fixée au 25 février 2025.
Malheureusement, il n’y a aucune information sur la façon dont l’une de ces failles est exploitée dans les attaques.