CISA a averti les agences fédérales américaines de sécuriser leurs systèmes contre les attaques exploitant les vulnérabilités des systèmes Cisco et Windows.
Bien que l’agence de cybersécurité ait qualifié ces failles d’exploitées activement dans la nature, elle n’a pas encore fourni de détails spécifiques concernant cette activité malveillante et qui en est à l’origine.
La première faille (identifiée comme CVE-2023-20118) permet aux attaquants d’exécuter des commandes arbitraires sur les routeurs VPN RV016, RV042, RV042G, RV082, RV320 et RV325. Bien qu’il nécessite des informations d’identification administratives valides, cela peut toujours être réalisé en chaînant le contournement d’authentification CVE-2023-20025, qui fournit des privilèges root.
Cisco indique dans un avis publié en janvier 2023 et mis à jour un an plus tard que son Équipe de réponse aux incidents de sécurité des produits (PSIRT) est au courant du code d’exploitation de validation de principe CVE-2023-20025 accessible au public.
Le deuxième bogue de sécurité (CVE-2018-8639) est une faille d’élévation de privilèges Win32k que les attaquants locaux connectés au système cible peuvent exploiter pour exécuter du code arbitraire en mode noyau. Une exploitation réussie leur permet également de modifier des données ou de créer des comptes malveillants avec tous les droits d’utilisateur pour prendre le contrôle de périphériques Windows vulnérables.
Selon un avis de sécurité publié par Microsoft en décembre 2018, cette vulnérabilité affecte les plates-formes client (Windows 7 ou version ultérieure) et serveur (Windows Server 2008 et versions ultérieures).
Aujourd’hui, CISA a ajouté les deux vulnérabilités à son catalogue de vulnérabilités exploitées connues, qui répertorie les bogues de sécurité que l’agence a étiquetés comme exploités dans des attaques. Conformément à la Directive opérationnelle contraignante (DBO) 22-01 publiée en novembre 2021, les agences de l’Exécutif Civil fédéral (FCEB) disposent désormais de trois semaines, jusqu’au 23 mars, pour sécuriser leurs réseaux contre l’exploitation en cours.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré aujourd’hui la CISA.
Microsoft et Cisco n’ont pas encore mis à jour leurs avis de sécurité après que CISA a identifié les deux vulnérabilités comme activement exploitées dans des attaques.
Début février, CISA a également annoncé qu’une vulnérabilité critique d’exécution de code à distance (RCE) de Microsoft Outlook (CVE-2024-21413) était désormais exploitée dans les attaques en cours et a ordonné aux agences fédérales de corriger leurs systèmes d’ici le 27 février.