La Cybersecurity and Infrastructure Agency (CISA) des États-Unis a ajouté vendredi 10 nouvelles vulnérabilités activement exploitées au Catalogue des vulnérabilités exploitées connues (KEV)y compris des failles de sécurité de haut niveau affectant les logiciels d’automatisation industrielle de Delta Electronics.

Le problème, suivi comme CVE-2021-38406 (score CVSS : 7,8), impacté sur DOPSoft 2 versions 2.00.07 et antérieures. L’exploitation réussie de la faille peut conduire à l’exécution de code arbitraire.

« Delta Electronics DOPSoft 2 n’avait pas de validation appropriée des données fournies par l’utilisateur lors de l’analyse de certains fichiers de projet (validation d’entrée incorrecte), ce qui a entraîné des écritures au-delà des limites d’activation de l’exécution de code », a déclaré CISA dans un avertissement.

Il convient de noter que CVE-2021-38406 a été divulgué à l’origine dans le cadre d’un système de contrôle industriel consultatif (ICS) publié en septembre 2021.

Cependant, aucun des correctifs ne corrige la vulnérabilité, la CISA notant que « les produits concernés sont en fin de vie et doivent être déconnectés s’ils sont toujours utilisés ». Le Conseil exécutif civil fédéral (FCEB) est mandaté pour suivre ces directives d’ici le 15 septembre 2022.

Peu d’informations sont disponibles sur la nature de l’attaque exploitant le bogue de sécurité, mais un rapport récent de Palo Alto Networks Unit 42 Afficher un exemple d’attaque dans la nature exploitant une faiblesse entre février et avril 2022.

Le développement ajoute du poids à l’idée que les adversaires exploitent de plus en plus les vulnérabilités nouvellement publiées lorsqu’elles sont divulguées pour la première fois, ce qui conduit à des efforts d’analyse aveugles et opportunistes visant à tirer parti des correctifs en attente.

Ces attaques suivent souvent une séquence spécifique d’exploits impliquant des shells Web, des crypto-mineurs, des botnets et des chevaux de Troie d’accès à distance (RAT), suivis par des courtiers d’accès anticipé (IAB) qui ouvrent ensuite la voie aux ransomwares.

Parmi les autres faiblesses activement exploitées ajoutées à la liste figurent les suivantes –

• CVE-2022-26352 – DotCMS Téléchargement illimité de vulnérabilités de fichiers
• CVE-2022-24706 – Initialisation par défaut non sécurisée d’Apache CouchDB à partir de la vulnérabilité des ressources
• CVE-2022-24112 – Vulnérabilité de contournement d’authentification Apache APISIX
• CVE-2022-22963 – Vulnérabilité d’exécution de code à distance de VMware Tanzu Spring Cloud Function
• CVE-2022-2294 – Vulnérabilité de débordement de tampon de tas WebRTC
• CVE-2021-39226 – Vulnérabilité de contournement de l’authentification Grafana
• CVE-2020-36193 – Résolution incorrecte des liens de la vulnérabilité PEAR Archive_Tar
• CVE-2020-28949 – PEAR Archive_Tar Désérialisation de la vulnérabilité des données non fiables

iOS et macOS désactivés ajoutés à la liste

Les autres défauts de haut niveau ajoutés au catalogue KEV sont CVE-2021-31010 (score CVSS : 7,5), un problème de désérialisation dans le composant Core Telephony d’Apple qui peut être exploité pour contourner les restrictions du bac à sable.

Le géant de la technologie a corrigé les failles d’iOS 12.5.5, iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 (et la mise à jour de sécurité 2021-005 Catalina) et watchOS 7.6.2 publié en septembre 2021.

Bien qu’il n’y ait aucune indication que la vulnérabilité ait été exploitée à l’époque, le géant de la technologie semble avoir discrètement révisé ses conseils le 25 mai 2022 pour ajouter la vulnérabilité et confirmer qu’elle avait effectivement été abusée lors d’une attaque.

« Apple est au courant de rapports selon lesquels ce problème aurait pu être activement exploité au moment de la sortie », a déclaré le fabricant d’iPhone, qui attribue cette découverte à Citizen Lab et à Project Zero de Google.

La mise à jour de septembre est également essentielle pour récupérer CVE-2021-30858 et CVE-2021-30860, qui sont tous deux utilisés par le groupe NSO, le fabricant du logiciel espion Pegasus, pour contourner les fonctions de sécurité du système d’exploitation.

Cela soulève la possibilité que CVE-2021-31010 se soit combiné avec les deux faiblesses susmentionnées dans la chaîne d’attaque pour sortir du bac à sable et réaliser une exécution de code arbitraire.