L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) maintient un aperçu utile des vulnérabilités connues exploitées par les attaquants. Le 5 avril, l’agence a ajouté quatre nouvelles vulnérabilités de sécurité à cette analyse. Vous pouvez découvrir ce que c’est, quels sont les risques et comment vous pouvez vous protéger contre eux.
La vulnérabilité Spring4Shell permet l’exécution à distance de code
Que s’est-il passé ?
La vulnérabilité « Spring4Shell » (CVE-2022-22965) inquiète actuellement les experts en cybersécurité. Le framework open source Spring fournit des outils et des utilitaires pour les applications d’entreprise basés sur le langage de programmation Java. Le ressort aide à réduire l’effort nécessaire pour construire les applications.
Le 31 mars, la société a confirmé la vulnérabilité zero-day et publié un correctif qui devrait résoudre le problème.
Cependant, la société américaine de sécurité Sonatype a noté cette semaine que malgré la sortie du correctif, plus de 80 % des téléchargements récents sont des versions potentiellement vulnérables. Apparemment, les programmes des entreprises qui utilisent Spring et sont utilisées dans le monde entier sont concernés. L’équipe d’intervention d’urgence informatique (CERT) de l’Université Carnegie Mellon a publié une liste des entreprises concernées.
La société de cybersécurité Kasada a également constaté que les cybercriminels utilisent des outils automatisés de scanner de vulnérabilités pour tester des milliers d’URL et déterminer quels systèmes n’ont pas encore été correctifs.
Un porte-parole de la société de télécommunications a assuré à BleepingComputer qu’aucune information sensible ni données clients n’avait été volée dans le cadre de la cyberattaque. Les cybercriminels n’ont réussi à accéder qu’à des logiciels d’exploitation internes, qui ne sont pas liés à des informations confidentielles. Aucune preuve n’a été trouvée que des données ou des secrets commerciaux aient été interceptés.
L’incident a été découvert grâce à des outils de surveillance internes qui ont documenté l’intrusion des acteurs non autorisés via des identifiants volés. Selon T-Mobile, l’accès des criminels a été rapidement coupé et les identifiants compromis utilisés ont été immédiatement désactivés. Les systèmes et processus de l’entreprise ont été nettoyés et fonctionnent comme prévu.
L’incident cybernétique a été mis en lumière par le journaliste d’investigation indépendant Brian Krebs, qui a été le premier à en faire un reportage. Il a pu analyser les messages de discussion Telegram fuités entre membres du gang Lapsus$ et déterminer que les assaillants avaient réussi à voler le code source interne de T-Mobile puis à pénétrer les systèmes.
Que puis-je faire ?
En plus de Spring4Shell, CISA a catalogué deux vulnérabilités (CVE-2022-22675 et CVE-2022-22674) divulguées par Apple le 1er avril qui affectent ses iPhone, iPad et Mac les plus utilisés.
Que s’est-il passé ?
Dans la vulnérabilité CVE-2022-22675, le composant de décodage audio et vidéo affecte AppleAVD. Cette vulnérabilité peut également entraîner l’exécution de codes à distance.
En combinaison avec la seconde vulnérabilité CVE-2022-22674, qui permet de lire la mémoire du noyau macOS, les cybercriminels pourraient également obtenir des informations sensibles sur leurs victimes potentielles.
Apple a déclaré que les deux vulnérabilités avaient été corrigées. Cependant, il existe un risque que ces vulnérabilités aient déjà été exploitées.
Que puis-je faire ?
Les mises à jour de sécurité iOS et iPad (iOS 15.4.1 et macOS Monterey 12.3.1) sont disponibles pour l’iPhone 6S et les versions ultérieures, tous les modèles iPad Pro, tous les modèles iPad Air 2 et ultérieurs, l’iPad 5e génération et ultérieures, l’iPad Mini 4 et ultérieurs, ainsi que l’iPod Touch (7e génération). Si vous utilisez l’un de ces appareils, vous devriez installer les mises à jour dès que possible et ne pas attendre une mise à jour automatique de sécurité d’Apple :
L’aperçu de CISA a également été élargi pour inclure la vulnérabilité CVE-2021-45382. Cela affecte les modèles de routeurs DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L et DIR-836L de D-Link. Cette vulnérabilité ouvre également la porte à l’exécution de code à distance.
Que s’est-il passé ?
Il n’y a plus de mises à jour disponibles pour ces appareils – la dernière a été publiée le 19 décembre 2021 – car il s’agit de dispositifs dits en fin de vie. Les produits ont atteint la fin de leur durée de vie et ne sont plus entretenus. En conséquence, des vulnérabilités apparaissent dans ces appareils et deviennent ainsi une cible populaire d’attaque – d’autant plus que les appareils sont constamment allumés et connectés à Internet. Les routeurs compromis sont souvent utilisés par les cybercriminels pour dissimuler leur position lors de lancements d’attaques.
Que puis-je faire ?
D-Link conseille elle-même de retirer et de remplacer les modèles mentionnés précédemment. Pour que les entreprises se conforment à la Directive opérationnelle contraignante 22-01, cela doit être fait avant le 25 avril 2022.
