La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a ajouté trois vulnérabilités de sécurité à son catalogue de « Vulnérabilités exploitées connues », une affectant Google Chrome et deux affectant certains routeurs D-Link.
L’ajout des problèmes au catalogue KEV sert d’avertissement aux agences fédérales et aux entreprises que les acteurs de la menace les exploitent dans les attaques et que des mises à jour de sécurité ou des mesures d’atténuation doivent être appliquées.
Les agences fédérales américaines ont jusqu’au 6 juin pour remplacer les appareils affectés ou mettre en œuvre des défenses qui réduisent ou éliminent le risque d’attaque.
Failles activement exploitées
La vulnérabilité dans Google Chrome, suivie sous le numéro CVE-2024-4761, a été confirmée par le fournisseur comme étant activement exploitée le 13 mai, mais aucun détail technique n’est actuellement accessible au public.
Il est décrit comme une vulnérabilité d’écriture hors limites dans le moteur JavaScript V8 de Chrome qui exécute du code JS dans le navigateur et son indice de gravité est élevé.
Deux jours après avoir divulgué CVE-2024-4761, Google a annoncé qu’une autre vulnérabilité (CVE-2024-4947) dans le moteur V8 de Chrome avait été exploitée à l’état sauvage, mais CISA ne l’a pas encore ajoutée au catalogue KEV.
CISA avertit également qu’une vulnérabilité vieille de dix ans affectant les routeurs D-Link DIR-600 est toujours exploitée. La faille est identifiée comme CVE-2014-100005 et est un problème de contrefaçon de requête intersite (CSRF).
Il permet aux attaquants de détourner les demandes d’authentification de l’administrateur vers le panneau d’administration Web de l’appareil, de créer leurs propres comptes d’administrateur, de modifier la configuration et de prendre le contrôle de l’appareil.
Bien que les routeurs D-Link DIR-600 aient atteint la fin de vie (EOL) quatre ans avant d’être découverts, le fournisseur a publié un correctif à l’époque dans la version 2.17b02 du micrologiciel ainsi qu’un bulletin de sécurité contenant des recommandations d’atténuation.
Un autre bug affectant les produits D-Link a également été ajouté récemment au catalogue KEV. Il est identifié comme CVE-2021-40655 et affecte les routeurs D-Link DIR-605 qui ne sont plus pris en charge depuis 2015.
Un exploit de validation de principe pour la faille a été publié sur GitHub en 2021. Il a démontré qu’un attaquant pouvait récupérer le nom d’utilisateur et le mot de passe de l’administrateur via une requête spécialement conçue envoyée au /getcfg.page php sans authentification.
CISA n’a fourni aucune information de base sur les deux failles de D-Link et on ne sait pas qui les a exploitées ni quand l’agence a enregistré les attaques.
Les vulnérabilités plus anciennes sont généralement exploitées par des logiciels malveillants botnet qui intègrent de grandes listes de problèmes de sécurité exploitables sans égard au type d’appareil ou à l’âge du problème.
Dans le cas des modèles D-Link 600 et 605, il est recommandé de remplacer l’appareil par des modèles plus récents que le fournisseur prend toujours en charge avec des mises à jour de performances et de sécurité.