L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis une faille de sécurité affectant Versa Director sur ses vulnérabilités connues exploitées (KEV) catalogue basé sur des preuves d’exploitation active.
La vulnérabilité de gravité moyenne, suivie comme CVE-2024-39717 (Score CVSS : 6,6), est un cas de bogue de téléchargement de fichier affectant la fonctionnalité « Modifier le favicon » qui pourrait permettre à un acteur malveillant de télécharger un fichier malveillant en le faisant passer pour un fichier image PNG apparemment inoffensif.
« L’interface utilisateur graphique de Versa Director contient un téléchargement illimité de fichiers avec une vulnérabilité de type dangereux qui permet aux administrateurs disposant des privilèges Provider-Data-Center-Admin ou Provider-Data-Center-System-Admin de personnaliser l’interface utilisateur », a déclaré la CISA dans un avis.
« L’option « Change Favicon » (icône favorite) permet de télécharger un fichier .png, qui peut être exploité pour télécharger un fichier malveillant avec une extension .PNG déguisé en image. »
Cependant, une exploitation réussie n’est possible qu’après qu’un utilisateur disposant des privilèges Provider-Data-Center-Admin ou Provider-Data-Center-System-Admin se soit authentifié et connecté avec succès.
Bien que les circonstances exactes entourant l’exploitation de CVE-2024-39717 ne soient pas claires, une description de la vulnérabilité dans la base de données nationale des vulnérabilités du NIST (NVD) indique que Versa Networks a connaissance d’un cas confirmé dans lequel un client a été ciblé.
« Les directives relatives au pare-feu publiées en 2015 et 2017 n’ont pas été mises en œuvre par ce client », indique la description. « Cette non-mise en œuvre a permis à l’acteur malveillant d’exploiter cette vulnérabilité sans utiliser l’interface graphique. »
Les agences du Federal Civilian Executive Branch (FCEB) sont tenues de prendre des mesures pour se protéger contre la faille en appliquant les correctifs fournis par le fournisseur d’ici le 13 septembre 2024.
Ce développement intervient quelques jours après la publication de la CISA ajouté quatre failles de sécurité de 2021 et 2022 dans son catalogue KEV –
- CVE-2021-33044 (Score CVSS : 9,8) – Vulnérabilité de contournement de l’authentification de la caméra IP Dahua
- CVE-2021-33045 (Score CVSS : 9,8) – Vulnérabilité de contournement de l’authentification de la caméra IP Dahua
- CVE-2021-31196 (Score CVSS : 7,2) – Vulnérabilité de divulgation d’informations sur Microsoft Exchange Server
- CVE-2022-0185 (Score CVSS : 8,4) – Vulnérabilité de dépassement de tampon basée sur le tas du noyau Linux
Il convient de noter qu’un acteur de menace lié à la Chine nommé UNC5174 (alias Uteus ou Uetus) a été attribué à l’exploitation de CVE-2022-0185 par Mandiant, propriété de Google, plus tôt ce mois de mars.
CVE-2021-31196 était à l’origine divulgué dans le cadre d’un vaste ensemble de vulnérabilités de Microsoft Exchange Server, collectivement suivies sous les noms de ProxyLogon, ProxyShell, ProxyToken et ProxyOracle.
« CVE-2021-31196 a été observé dans des campagnes d’exploitation actives, où les acteurs de la menace ciblent des instances Microsoft Exchange Server non corrigées », OP Innovate dit« Ces attaques visent généralement à obtenir un accès non autorisé à des informations sensibles, à augmenter les privilèges ou à déployer d’autres charges utiles telles que des ransomwares ou des logiciels malveillants. »