L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a décidé jeudi d’ajouter un faille de sécurité SAP critique à son Catalogue des vulnérabilités exploitées connuessur la base de preuves d’exploitation active.
Le problème en question est CVE-2022-22536qui a reçu le score de risque le plus élevé possible de 10,0 sur le système de notation des vulnérabilités CVSS et a été traité par SAP dans le cadre de ses mises à jour Patch Tuesday pour février 2022.
Décrite comme une vulnérabilité de contrebande de requêtes HTTP, la lacune affecte les versions de produit suivantes :
- SAP Web Dispatcher (Versions – 7.49, 7.53, 7.77, 7.81, 7.85, 7.22EXT, 7.86, 7.87)
- Serveur de contenu SAP (Version – 7.53)
- Plateforme SAP NetWeaver et ABAP (Versions – KERNEL 7.22, 8.04, 7.49, 7.53, 7.77, 7.81, 7.85, 7.86, 7.87, KRNL64UC 8.04, 7.22, 7.22EXT, 7.49, 7.53, KRNL64NUC 7.22, 7.22EXT),
« Un attaquant non authentifié peut précéder la demande d’une victime de données arbitraires, permettant l’exécution de fonctions usurpant l’identité de la victime ou empoisonnant les caches Web intermédiaires », a déclaré la CISA dans une alerte.
« Une simple requête HTTP, indiscernable de tout autre message valide et sans aucune forme d’authentification, suffit pour une exploitation réussie », a déclaré Onapsis, qui découvert le défaut, Remarques. « Par conséquent, il est facile pour les attaquants de l’exploiter et plus difficile pour les technologies de sécurité telles que les pare-feu ou IDS/IPS de le détecter (car il ne présente pas de charge utile malveillante). »
De plus, l’agence a ajouté de nouvelles failles révélées par Apple (CVE-2022-32893 et CVE-2022-32894) et Google (CVE-2022-2856) cette semaine ainsi que des bogues liés à Microsoft précédemment documentés (CVE-2022-21971 et CVE-2022-26923) et une vulnérabilité d’exécution de code à distance dans Palo Alto Networks PAN-OS (CVE-2017-15944score CVSS : 9,8) qui a été divulgué en 2017.
CVE-2022-21971 (score CVSS : 7,8) est une vulnérabilité d’exécution de code à distance dans Windows Runtime qui a été résolue par Microsoft en février 2022. CVE-2022-26923 (score CVSS : 8,8), corrigée en mai 2022, concerne un privilège faille d’escalade dans les services de domaine Active Directory.
« Un utilisateur authentifié pourrait manipuler les attributs des comptes d’ordinateur qu’il possède ou gère, et acquérir un certificat auprès des services de certificats Active Directory qui permettrait l’élévation des privilèges au système », décrit Microsoft dans son avis pour CVE-2022-26923.
La notification CISA, comme c’est traditionnellement le cas, ne contient que peu de détails techniques sur les attaques dans la nature associées aux vulnérabilités afin d’éviter que les acteurs de la menace n’en profitent davantage.
Afin d’atténuer l’exposition aux menaces potentielles, les agences du pouvoir exécutif civil fédéral (FCEB) sont mandatées pour appliquer les correctifs pertinents d’ici le 8 septembre 2022.