Une activité accrue des pirates informatiques a été observée dans les tentatives de compromettre des appareils mal entretenus qui sont vulnérables aux problèmes de sécurité plus anciens de 2022 et 2023.
La plate-forme de surveillance des menaces GreyNoise signale des pics d’acteurs exploitant CVE-2022-47945 et CVE-2023-49103 qui affectent le framework ThinkPHP et la solution open source ownCloud pour le partage et la synchronisation de fichiers.
Les deux vulnérabilités ont une gravité critique et peuvent être exploitées pour exécuter des commandes arbitraires du système d’exploitation ou pour obtenir des données sensibles(par exemple, mot de passe administrateur, informations d’identification du serveur de messagerie, clé de licence).
La première vulnérabilité est un problème d’inclusion de fichiers locaux (LFI) dans le paramètre de langue du framework ThinkPHP avant la version 6.0.14. Un attaquant distant non authentifié peut l’exploiter pour exécuter des commandes arbitraires du système d’exploitation dans les déploiements où la fonctionnalité de module linguistique est activée.
Akamai a signalé l’été dernier que les acteurs chinois de la menace exploitaient la faille depuis octobre 2023 dans des opérations à portée étroite.
Selon la plate-forme de surveillance des menaces GreyNoise, CVE-2022-47945 est actuellement exploité à un volume élevé, avec des attaques lancées à partir d’un nombre croissant d’adresses IP sources.
« GreyNoise a observé 572 adresses IP uniques tentant d’exploiter cette vulnérabilité, avec une activité en augmentation ces derniers jours », prévient le bulletin.
Ceci en dépit de sa faible cote EPSS (Exploit Prediction Scoring System) de 7% et du fait que la faille n’est pas incluse dans le catalogue des vulnérabilités exploitées connues de CISA (KEV).
La deuxième vulnérabilité affecte le populaire logiciel de partage de fichiers open source et résulte de la dépendance de l’application à une bibliothèque tierce qui expose les détails de l’environnement PHP via une URL.
Peu de temps après la divulgation initiale des vulnérabilités par les développeurs en novembre 2023, des pirates informatiques ont commencé à les exploiter pour voler des informations sensibles sur des systèmes non corrigés.
Un an plus tard, CVE-2023-49103 a été répertoriée par le FBI, la CIA et la NSA, parmi les 15 vulnérabilités les plus exploitées de 2023.
Bien que plus de 2 ans se soient écoulés depuis que le fournisseur a publié une mise à jour qui résout le problème de sécurité, de nombreuses instances restent non corrigées et exposées aux attaques.
Un bruit gris a récemment observé une exploitation accrue de CVE-2023-49103, avec une activité malveillante provenant de 484 adresses IP uniques.
Pour protéger les systèmes contre l’exploitation active, il est conseillé aux utilisateurs de passer à ThinkPHP 6.0.14 ou version ultérieure, et ownCloud GraphAPI à 0.3.1 et plus récent.
Il est également recommandé de mettre les instances potentiellement vulnérables hors ligne ou de les placer derrière un pare-feu pour réduire la surface d’attaque.