La Cybersecurity & Infrastructure Security Agency des États-Unis a ajouté à son catalogue de vulnérabilités exploitées connues (KEV) trois problèmes de sécurité qui affectent les appareils Microsoft, un produit Sophos et une solution d’entreprise d’Oracle.
Le catalogue KEV contient des failles confirmées comme étant exploitées par des pirates informatiques lors d’attaques et sert de référentiel de vulnérabilités que les entreprises du monde entier devraient traiter en priorité.
L’agence exhorte les agences fédérales à appliquer les mises à jour de sécurité disponibles pour les trois problèmes avant le 7 décembre. Les trois vulnérabilités sont suivies comme suit :
- CVE-2023-36584 – Contournement de la fonctionnalité de sécurité « Mark of the Web » (MotW) sur Microsoft Windows.
- CVE-2023-1671 – Vulnérabilité d’injection de commandes dans Sophos Web Appliance permettant l’exécution de code à distance (RCE).
- CVE-2020-2551 – Vulnérabilité non spécifiée dans Oracle Fusion Middleware, permettant à un attaquant non authentifié disposant d’un accès réseau via IIOP de compromettre le serveur WebLogic.
Microsoft a corrigé le problème CVE-2023-36584 dans le lot de mises à jour de sécurité du Patch Tuesday d’octobre 2023. Cependant, il n’a pas été signalé comme activement exploité dans la divulgation et au moment de la rédaction de cet article, il est toujours marqué comme non exploité.
La faille critique de Sophos Web Appliance, corrigée le 4 avril 2023, est identifiée comme CVE-2023-1671 et a un score de gravité de 9,8. Cela peut conduire à l’exécution de code à distance (RCE) et affecte les versions du logiciel antérieures à 4.3.10.4.
Il est à noter que la Sophos Web Appliance est arrivée en fin de vie le 20 juillet et ne reçoit plus aucun type de mises à jour. La société a informé ses clients qu’ils devaient migrer vers la protection Web Sophos Firewall.
Bien que le catalogue KEV de CISA soit principalement destiné aux agences fédérales américaines, il est conseillé aux entreprises du monde entier de l’utiliser comme système d’alerte pour les vulnérabilités exploitées et de prendre les mesures nécessaires pour mettre à jour leurs systèmes ou appliquer les mesures d’atténuation recommandées par le fournisseur.