L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté mardi trois failles de sécurité à son catalogue de vulnérabilités exploitées connues (KEV), sur la base de preuves d’exploitation active.
La liste des lacunes est la suivante –
- CVE-2022-47986 (score CVSS : 9,8) – Vulnérabilité d’exécution de code IBM Aspera Faspex
- CVE-2022-41223 (score CVSS : 6,8) – Vulnérabilité d’injection de code Mitel MiVoice Connect
- CVE-2022-40765 (score CVSS : 6,8) – Vulnérabilité d’injection de commande Mitel MiVoice Connect
CVE-2022-47986 est décrit comme une faille de désérialisation YAML dans la solution de transfert de fichiers qui pourrait permettre à un attaquant distant d’exécuter du code sur le système.
Les détails de la faille et une preuve de concept (PoC) ont été partagés par Assetnote le 2 février, un jour après quoi la Fondation Shadowserver a déclaré qu’elle « avait détecté des tentatives d’exploitation » dans la nature.
L’exploitation active de la faille Aspera Faspex intervient peu de temps après qu’une vulnérabilité du logiciel de transfert de fichiers géré GoAnywhere MFT de Fortra (CVE-2023-0669) a été exploitée par des acteurs malveillants ayant des liens potentiels avec l’opération de rançongiciel Clop.
CISA a également ajouté deux failles impactant Mitel MiVoice Connect (CVE-2022-41223 et CVE-2022-40765) qui pourraient permettre à un attaquant authentifié disposant d’un accès au réseau interne d’exécuter du code arbitraire.
Les détails exacts entourant la nature des attaques ne sont pas clairs, mais une autre faille de MiVoice Connect a été exploitée l’année dernière pour déployer un rançongiciel. Les vulnérabilités ont été corrigées par Mitel en octobre 2022.
À la lumière de l’exploitation dans la nature, les agences de la branche exécutive civile fédérale (FCEB) sont tenues d’appliquer les mises à jour nécessaires d’ici le 14 mars 2023 pour sécuriser les réseaux contre les menaces potentielles.
CISA, dans un développement connexe, a également publié un avis sur les systèmes de contrôle industriel (ICS) qui aborde les failles critiques (CVE-2022-26377 et CVE-2022-31813) dans MELSOFT iQ AppPortal de Mitsubishi Electric.
« L’exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant malveillant d’avoir des impacts non identifiés tels que le contournement de l’authentification, la divulgation d’informations, le déni de service ou le contournement de l’authentification par adresse IP », a déclaré l’agence.