CISA Signale des Exploits Actifs Dans Windows, Cisco

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté deux vulnérabilités de sécurité affectant les produits Cisco et Windows à son catalogue des vulnérabilités connues exploitées (KEV), lundi, avertissant les organisations d’une exploitation active par des acteurs malveillants.

Les deux vulnérabilités mentionnées ci-dessous, qui ont été ajoutées au KEV sur la base de preuves de campagnes d’exploitation, sont des vecteurs d’attaque fréquents pour les acteurs malveillants et posent des risques significatifs pour les organisations. Ce sont :

CVE-2023-20118 (Score CVSS : 6.5) – Vulnérabilité d’injection de commande des routeurs Cisco Small Business RV Series :

Cette faille existe dans l’interface de gestion basée sur le web des routeurs Cisco Small Business RV016, RV042, RV042G, RV082, RV320 et RV325.

La vulnérabilité permet à un attaquant distant authentifié d’exécuter des commandes arbitraires sur un appareil affecté, en raison d’une validation incorrecte des entrées utilisateur dans les paquets HTTP entrants.

Cette vulnérabilité peut être exploitée par l’attaquant en envoyant une requête HTTP spécialement conçue à l’interface de gestion basée sur le web.

Si l’attaque réussit, l’attaquant pourrait obtenir des privilèges de niveau root et accéder à des données non autorisées. Cependant, l’exploitation nécessite des identifiants administratifs valides sur l’appareil affecté.

CVE-2018-8639 (Score CVSS : 7.8) – Vulnérabilité de fermeture ou de libération incorrecte des ressources Win32k de Microsoft Windows :

Cette faille est une vulnérabilité d’élévation de privilèges, qui existe dans Windows lorsque le composant Win32k ne parvient pas à gérer correctement les objets en mémoire, également connue sous le nom de « Vulnérabilité d’élévation de privilèges Win32k ».

L’exploitation de cette vulnérabilité peut permettre aux attaquants locaux d’obtenir des privilèges élevés et potentiellement d’exécuter du code arbitraire en mode noyau, prenant ainsi le contrôle du système Windows affecté.

Selon un avis de sécurité publié par Microsoft en décembre 2018, la vulnérabilité CVE-2018-8639 affecte Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 et Windows 10 Servers.

En réponse à l’exploitation active de ces vulnérabilités, la CISA a mandaté toutes les agences fédérales civiles exécutives (FCEB), conformément à la directive opérationnelle contraignante (BOD) 22-01 de novembre 2021, d’appliquer les correctifs d’ici le 24 mars 2025, afin d’atténuer les vulnérabilités identifiées et de protéger leurs réseaux contre les menaces potentielles.

En ce qui concerne la vulnérabilité CVE-2023-20118, Cisco n’a pas publié de correctif pour la corriger, car les modèles affectés ont atteint leur fin de vie (EoL).

D’autre part, Microsoft a corrigé la vulnérabilité CVE-2018-8639 en décembre 2018 avec une mise à jour de sécurité de Microsoft Windows.

Les organisations utilisant ces produits sont conseillées de prendre des mesures défensives immédiates, telles que désactiver la gestion à distance, mettre à niveau vers le dernier firmware, surveiller les activités réseau inhabituelles, utiliser des identifiants forts comme des mots de passe complexes, restreindre l’accès aux sources de confiance et mettre en œuvre des stratégies de défense multicouches.