Vendredi, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a augmenté de cinq sa liste de problèmes de sécurité que les acteurs de la menace ont utilisés dans les attaques, dont trois dans Veritas Backup Exec exploités pour déployer des ransomwares.
L’une des vulnérabilités a été exploitée en tant que zero-day dans le cadre d’une chaîne d’exploitation qui ciblait le navigateur Web de Samsung et une autre qui permet aux attaquants d’augmenter les privilèges sur les machines Windows.
Accès initial lors d’une attaque par rançongiciel
Sur les cinq vulnérabilités que CISA a ajoutées au catalogue des vulnérabilités exploitées connues (KEV) aujourd’hui, une seule a été jugée critique, un problème dans le logiciel de protection des données de Veritas suivi comme CVE-2021-27877 qui permet l’accès à distance et l’exécution de commandes avec des privilèges élevés. .
Un rapport plus tôt cette semaine de la société de cybersécurité Mandiant informe que CVE-2021-27877 a été utilisé par une filiale de l’opération de rançongiciel ALPHV/BlackCat pour obtenir un accès initial à un réseau cible.
Les deux autres failles (CVE-2021-27876, CVE-2021-27878) affectant Veritas Backup Exec ont également été exploitées dans l’attaque, permettant à l’intrus d’accéder à des fichiers arbitraires et d’exécuter des commandes arbitraires sur le système.
Il convient de noter que Veritas a corrigé les trois vulnérabilités en mars 2021 et que des milliers d’instances Backup Exec sont actuellement accessibles sur le Web public.
La chaîne d’exploitation fournit des logiciels espions
La vulnérabilité zero-day exploitée contre le navigateur Web de Samsung est identifiée comme CVE-2023-26083 et affecte le pilote GPU Mali d’Arm.
Faisant partie d’une chaîne d’exploitation qui a livré des logiciels espions commerciaux dans une campagne découverte en décembre 2022 par le Threat Analysis Group (TAG) de Google, le problème de sécurité est une fuite d’informations qui permet d’exposer des métadonnées sensibles du noyau.
Dans une précédente mise à jour du KEV fin mars, CISA avait inclus dans le catalogue les autres vulnérabilités exploitées dans la chaîne d’exploit, dont certaines étaient des zero-days au moment de l’attaque.
La cinquième vulnérabilité CISA ajoutée à KEV est identifiée comme CVE-2019-1388. Il a un impact sur la boîte de dialogue de certificat Microsoft Windows et a été utilisé dans des attaques pour exécuter des processus avec des privilèges élevés sur une machine précédemment compromise.
Les agences fédérales aux États-Unis ont jusqu’au 28 avril pour vérifier si leurs systèmes sont affectés par les vulnérabilités nouvellement ajoutées et pour appliquer les mises à jour nécessaires.
Dans le cadre de la directive opérationnelle contraignante (BOD 22-01) de novembre 2021, les agences fédérales civiles du pouvoir exécutif (FCEB) doivent vérifier et corriger leurs réseaux pour tous les bogues inclus dans le catalogue KEV, qui compte actuellement 911 entrées.
Même si la KEV s’adresse principalement aux agences fédérales, il est fortement recommandé aux entreprises privées du monde entier de traiter en priorité les vulnérabilités du catalogue.