Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Les bugs Ivanti et Veeam sont attaqués
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) met en garde contre deux failles activement ciblées dans son catalogue de sécurité.
L'organisme de surveillance de la cybersécurité du gouvernement américain a déclaré que les CVE-2023-38035 et CVE-2023-2752 étaient activement exploitées.
CVE-2023-38035 décrit une vulnérabilité de contournement d'authentification dans MobileIron Security qui, dans les versions antérieures à 9.18.0, empêche le logiciel d'effectuer correctement les contrôles de sécurité. En conséquence, les attaquants peuvent accéder aux API et émettre des commandes qui devraient normalement être limitées aux comptes d'administrateur.
"Lorsque les contrôles d'accès sont mal appliqués, les utilisateurs peuvent accéder aux données ou effectuer des actions qu'ils ne devraient pas être autorisés à effectuer", a déclaré Ivanti à propos de la vulnérabilité.
"Cela peut entraîner un large éventail de problèmes, notamment la divulgation d'informations, le déni de service et l'exécution de code arbitraire."
Ivanti note que le risque d'attaque peut être atténué en limitant l'accès depuis le portail 8433 et affirme que si le port, couramment utilisé pour l'accès aux MICS (services de configuration MobileIron), n'est pas activé, il n'y a aucun risque d'attaque.
« Bien que le problème ait un score CVSS élevé, le risque d'exploitation est faible pour les clients qui n'exposent pas le port 8443 à Internet », a déclaré Ivanti.
Pendant ce temps, les administrateurs exploitant Veeam Backup & Replication ont intérêt à mettre à niveau leur logiciel afin d’atténuer une vulnérabilité de contournement de sécurité CVE-2023-27532.
Le problème proviendrait d’une faille qui permet à un attaquant de contourner les contrôles d’authentification.
"[la vulnérabilité] permet d'obtenir des informations d'identification cryptées stockées dans la base de données de configuration. Cela peut conduire à accéder aux hôtes de l'infrastructure de sauvegarde."
La mise à niveau de Veeam vers la version 12 (build 12.0.0.1420 P20230223) ou 11a (build 11.0.1.1261 P20230227) corrigera la vulnérabilité.
La CISA n'a pas fourni de détails sur la nature des attaques mais a déclaré que les agences fédérales feraient bien de tester et d'installer les deux mises à jour dès que possible.
Bien que la CISA n’ait pas d’autorité au-delà des agences gouvernementales américaines, l’administration exerce un poids immense à la fois auprès du Département de la Sécurité intérieure et auprès des industries privées qui collaborent avec le DHS et la CISA sur les projets du gouvernement américain.
En conséquence, les entreprises privées ont également tendance à suivre les directives de la CISA comme meilleure pratique.
« Bien que le BOD 22-01 ne s'applique qu'aux agences FCEB, la CISA exhorte fortement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la correction rapide des vulnérabilités des catalogues dans le cadre de leurs pratiques de gestion des vulnérabilités », déclare la CISA.