L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a fixé au 17 novembre 2023 la date limite aux agences et organisations fédérales pour appliquer des mesures d’atténuation afin de se protéger contre un certain nombre de failles de sécurité dans Juniper Junos OS révélées en août.
L’agence lundi ajoutée cinq vulnérabilités aux vulnérabilités exploitées connues (KEV) catalogue, basé sur des preuves d’exploitation active –
- CVE-2023-36844 (score CVSS : 5,3) – Vulnérabilité de modification de variable externe PHP Juniper Junos OS EX Series
- CVE-2023-36845 (score CVSS : 5,3) – Vulnérabilité de modification de variable externe PHP Juniper Junos OS EX Series et SRX Series
- CVE-2023-36846 (score CVSS : 5,3) – Authentification manquante Juniper Junos OS SRX Series pour vulnérabilité de fonction critique
- CVE-2023-36847 (score CVSS : 5,3) – Authentification manquante Juniper Junos OS EX Series pour vulnérabilité de fonction critique
- CVE-2023-36851 (score CVSS : 5,3) – Authentification manquante Juniper Junos OS SRX Series pour vulnérabilité de fonction critique
Selon Juniper, les vulnérabilités pourraient être transformées en chaîne d’exploitation pour permettre l’exécution de code à distance sur des appareils non corrigés. Le CVE-2023-36851 a également été ajouté à la liste, qui a été décrit comme une variante de la faille de téléchargement SRX.
Juniper, dans une mise à jour de son avis du 8 novembre 2023, dit il est « désormais conscient de l’exploitation réussie de ces vulnérabilités », recommandant aux clients de mettre à jour vers les dernières versions avec effet immédiat.
Les détails entourant la nature de l’exploitation sont actuellement inconnus.
Dans une alerte distincte, la CISA a également averti que le gang de ransomwares Royal pourrait être rebaptisé BlackSuit en raison du fait que ce dernier partage « un certain nombre de caractéristiques de codage identifiées similaires à celles de Royal ».
Ce développement intervient alors que Cyfirma a révélé que des exploits pour des vulnérabilités critiques sont proposés à la vente sur les forums darknet et les chaînes Telegram.
« Ces vulnérabilités englobent l’élévation de privilèges, le contournement d’authentification, l’injection SQL et l’exécution de code à distance, posant des risques de sécurité importants », a déclaré la société de cybersécurité. ditajoutant que « les groupes de ransomware recherchent activement des vulnérabilités zero-day sur des forums clandestins afin de compromettre un grand nombre de victimes ».
Cela fait également suite aux révélations de Huntress selon lesquelles les acteurs malveillants ciblent plusieurs établissements de santé en abusant de l’outil d’accès à distance ScreenConnect largement utilisé par Transaction Data Systems, un fournisseur de logiciels de gestion de pharmacie, pour l’accès initial.
« L’acteur malveillant a pris plusieurs mesures, notamment en installant des outils d’accès à distance supplémentaires tels que des instances ScreenConnect ou AnyDesk, pour garantir un accès persistant aux environnements », a déclaré Huntress. noté.