Le dernier rapport de Trellix montre la persistance de vulnérabilités dans la sphère IT. Ces dernières viennent compléter le gros dictionnaire des Common Vulnerabilities and Exposures (CVE) à savoir les vulnérabilités et expositions communes, gérées par l’organisme américain MITRE, chargé de la sécurité intérieure.
Les 3 dernières découvertes du centre de recherche de Trellix montrent les risques potentiels et les difficultés pour corriger les failles.
La CVE-2023-24932: Secure Boot est une vulnérabilité concernant Secure Boot, la technologie de Windows qui permet de sécuriser le démarrage de l’OS de Microsoft. Disponible pour 5000 $ sur le darkweb, c’est dire sa dangerosité, ce trou de sécurité installe le malware BlackLotus avant que le système ne se charge. Microsoft a publié une note pour expliquer comment l’identifier avec les différents indicateurs de compromission (IOC) de BlackLotus.
En cas de compromission d’une machine, la solution la plus sûre consiste à reformater ou à restaurer une sauvegarde de tous les lecteurs système (y compris les partitions du système d'exploitation et d'amorçage). Pas moins. Mauvaise nouvelle, même si un poste de travail ne présente aucune preuve de compromission, une simple mise à jour ne suffit pas à le protéger.
La vulnérabilité CVE-2023-28771 affecte les pare-feu et VPN de Zyxel
Cette vulnérabilité permet à des attaquants d’exécuter du code à distance, sans nécessiter d’authentification. Elle concerne 66 000 produits et ses cibles principales sont les petites entreprises et les PME (voir graphique ci-dessous).Trellix indique que des attaques exploitant ce trou de sécurité ont été signalées, notamment pour créer un botnet Mirai utilisé ensuite dans des offensives de déni de service DDoS. Zyxel a publié des correctifs qu’il convient d’appliquer au plus vite.
Les équipes de sécurité qui veulent détecter l'exploitation de cette vulnérabilité au niveau du réseau peuvent inspecter le trafic VPN sécurisé par le protocole IKEv2 envoyé au port UDP 500. Une tache difficile.
Une faille pour les produits de sécurité de Barracuda
La troisième faille, CVE-2023-2868 concerne Barracuda Email Security Gateways (ESG), les passerelles de sécurité mails de l’éditeur. Le comble pour un éditeur de solutions de protection. Il s’agit d’une faille d’injection de commandes exploitée depuis déjà sept mois par des pirates. Elle est due à une mauvaise désinfection des pièces jointes issues de mails, notamment les fichiers .tar. Cette vulnérabilité concerne 200 000 organisations à travers le monde.La solution passe par une procédure assez longue, qui nécessite un peu plus de travail que le simple fait de cliquer sur un bouton de mise en jour. Pour les personnes concernées, l'avis de sécurité de Barracuda présente les étapes de remédiation et les IOC pour les trois souches de logiciels malveillants identifiées ainsi que les règles de détection.