La Cybersecurity and Infrastructure Security Agency des États-Unis a ajouté deux vulnérabilités au catalogue de vulnérabilités exploitées connues, une faille récemment corrigée dans Google Chrome et un Bogue affectant une bibliothèque Perl open source pour lire des informations dans un fichier Excel appelé Spreadsheet::ParseExcel.
L’agence américaine de cyberdéfense a donné aux agences fédérales jusqu’au 23 janvier pour atténuer les deux problèmes de sécurité suivis comme CVE-2023-7024 et CVE-2023-7101 selon les instructions du fournisseur ou pour cesser d’utiliser les produits vulnérables.
Tableur:: ParseExcel RCE
Le premier problème que CISA a ajouté à ses vulnérabilités exploitées connues (KEV)est CVE-2023-7101, une vulnérabilité d’exécution de code à distance qui affecte les versions 0.65 et antérieures de la bibliothèque Spreadsheet::ParseExcel.
« Spreadsheet:: ParseExcel contient une vulnérabilité d’exécution de code à distance due au passage d’une entrée non validée d’un fichier dans un type de chaîne “eval. »Plus précisément, le problème provient de l’évaluation des chaînes de format numérique dans la logique d’analyse Excel », lit la description de la faille par CISA.
Tableur:: ParseExcel est une bibliothèque polyvalente qui permet des opérations d’importation/exportation de données sur des fichiers Excel, d’exécuter des scripts d’analyse et d’automatisation. Le produit fournit également une couche de compatibilité pour le traitement de fichiers Excel sur des applications Web basées sur Perl.
Un produit utilisant la bibliothèque open source est Barracuda ESG( Email Security Gateway), qui a été ciblé fin décembre par des pirates informatiques chinois qui ont exploité le CVE-2023-7101 dans Spreadsheet::ParseExcel pour compromettre les appliances.
En collaboration avec la société de cybersécurité Mandiant, Barracuda estime que l’auteur de la menace derrière les attaques est UNC4841, qui a exploité la faille pour déployer des logiciels malveillants « SeaSpy » et « Saltwater ».
Barracuda a appliqué des mesures d’atténuation pour l’ESG le 20 décembre, et une mise à jour de sécurité qui traitait de CVE-2023-7101 a été mise à disposition le 29 décembre 2023, avec Spreadsheet::ParseExcel version 0.66.
Débordement de tampon Google Chrome
La dernière vulnérabilité activement exploitée ajoutée à KEV est CVE-2023-7024, un problème de débordement de mémoire tampon de tas dans WebRTC dans le navigateur Web Google Chrome.
« Google Chromium WebRTC, un projet open source fournissant aux navigateurs Web une communication en temps réel, contient une vulnérabilité de débordement de mémoire tampon de tas qui permet à un attaquant de provoquer des plantages ou l’exécution de code », lit le résumé de la faille de CISA.
“Cette vulnérabilité pourrait avoir un impact sur les navigateurs Web utilisant WebRTC, y compris, mais sans s’y limiter, Google Chrome”, ajoute l’agence.
La faille a été découverte par le Groupe d’analyse des menaces (TAG) de Google et a reçu un correctif via une mise à jour d’urgence le 20 décembre, dans les versions 120.0.6099.129/130 pour Windows et 120.0.6099.129 pour Mac et Linux.
Il s’agissait de la huitième vulnérabilité zero-day corrigée par Google dans Chrome pour 2023, soulignant les efforts persistants et le temps que les pirates consacrent à la recherche et à l’exploitation des failles du navigateur Web largement utilisé.
Le catalogue KEV de CISA est une ressource précieuse pour les organisations du monde entier qui visent à améliorer la gestion des vulnérabilités et la hiérarchisation.