CISA a averti les agences fédérales américaines de sécuriser leurs systèmes contre les vulnérabilités critiques des systèmes Oracle WebLogic Server et Mitel MiCollab qui sont activement exploitées dans les attaques.
L’agence de cybersécurité a ajouté une vulnérabilité de traversée de chemin critique (CVE-2024-41713) trouvée dans la plate-forme de communications unifiées MiCollab de Mitel, composant de Messagerie unifiée NuPoint, à son Catalogue de vulnérabilités exploitées connues.
Ce bogue de sécurité permet aux attaquants d’effectuer des actions administratives non autorisées et d’accéder aux informations utilisateur et réseau.
« Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d’obtenir un accès non autorisé, avec des impacts potentiels sur la confidentialité, l’intégrité et la disponibilité du système. Cette vulnérabilité est exploitable sans authentification », explique MiCollab.
« Si la vulnérabilité est exploitée avec succès, un attaquant pourrait obtenir un accès non authentifié aux informations de provisionnement, y compris des informations utilisateur et réseau non sensibles, et effectuer des actions administratives non autorisées sur le serveur MiCollab. »
La faille critique du serveur Oracle WebLogic identifiée comme CVE-2020-2883 et corrigée il y a quatre ans en avril 2020 permet aux attaquants non authentifiés de prendre à distance des serveurs non corrigés.
L’agence américaine de cybersécurité a également mis en garde contre une deuxième vulnérabilité de traversée de chemin Mitel MiCollab (CVE-2024-55550), permettant à des attaquants authentifiés dotés de privilèges d’administrateur de lire des fichiers arbitraires sur des serveurs vulnérables. Cependant, l’impact est limité car une exploitation réussie ne permet pas l’élévation de privilèges et les fichiers accessibles ne contiennent pas d’informations système sensibles.
Aujourd’hui, CISA a ajouté les trois vulnérabilités à son catalogue de vulnérabilités exploitées connues, en les étiquetant comme activement exploitées. Conformément à la Directive opérationnelle contraignante (DBO) 22-01 publiée en novembre 2021, les agences de l’Exécutif Civil fédéral (FCEB) doivent sécuriser leurs réseaux dans un délai de trois semaines d’ici le 28 janvier.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a déclaré mardi la CISA.
Alors que le catalogue KEV se concentre sur l’alerte des agences fédérales américaines concernant les vulnérabilités qui doivent être corrigées dès que possible, il est conseillé à toutes les organisations de donner la priorité à l’atténuation de ces failles de sécurité pour bloquer les attaques en cours.