Alerte : Exploitation active des vulnérabilités de TP-Link, Apache et Oracle détectée


02 mai 2023Ravie LakshmananVulnérabilité / Cybermenace

Vulnérabilités

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée trois failles du catalogue des vulnérabilités exploitées connues (KEV), basées sur des preuves d’exploitation active.

Les vulnérabilités de sécurité sont les suivantes –

  • CVE-2023-1389 (Score CVSS : 8,8) – Vulnérabilité d’injection de commande TP-Link Archer AX-21
  • CVE-2021-45046 (Score CVSS : 9,0) – Désérialisation Apache Log4j2 de la vulnérabilité des données non fiables
  • CVE-2023-21839 (Score CVSS : 7,5) – Vulnérabilité non spécifiée du serveur Oracle WebLogic

CVE-2023-1389 concerne un cas d’injection de commande affectant les routeurs TP-Link Archer AX-21 qui pourrait être exploité pour obtenir l’exécution de code à distance. Selon l’initiative Zero Day de Trend Micro, la faille a été utilisée par des acteurs menaçants associés au botnet Mirai depuis le 11 avril 2023.

La cyber-sécurité

La deuxième faille à ajouter au catalogue KEV est CVE-2021-45046, une exécution de code à distance affectant la bibliothèque de journalisation Apache Log4j2 qui a été révélée en décembre 2021.

Il n’est actuellement pas clair comment cette vulnérabilité spécifique est exploitée dans la nature, bien que les données recueillies par GreyNoise montre preuves de tentatives d’exploitation provenant de 74 adresses IP uniques au cours des 30 derniers jours. Cependant, cela inclut également CVE-2021-44228 (alias Log4Shell).

Compléter la liste est un bogue de haute gravité dans les versions 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0 d’Oracle WebLogic Server qui pourrait permettre un accès non autorisé à des données sensibles. C’était patché par la société dans le cadre des mises à jour publiées en janvier 2023.

« Oracle WebLogic Server contient une vulnérabilité non spécifiée qui permet à un attaquant non authentifié avec un accès réseau via T3, IIOP, de compromettre Oracle WebLogic Server, » CISA a dit.

WEBINAIRE À VENIR

Apprenez à arrêter les ransomwares avec une protection en temps réel

Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.

Sauvez ma place !

Bien qu’il existe une preuve de concept (PoC) exploite la faille, il ne semble pas y avoir de rapports publics de exploitation malveillante.

Les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les correctifs fournis par les fournisseurs d’ici le 22 mai 2023 pour sécuriser leurs réseaux contre ces menaces actives.

L’avis intervient également un peu plus d’un mois après VulnCheck révélé que près de quatre douzaines de failles de sécurité qui ont probablement été militarisées dans la nature en 2022 sont absentes du catalogue KEV.

Sur les 42 vulnérabilités, une écrasante majorité est liée à l’exploitation par des botnets de type Mirai (27), suivis par des gangs de ransomwares (6) et d’autres acteurs menaçants (9).

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57