L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mercredi ajoutée deux failles de sécurité à ses vulnérabilités exploitées connues (KEV) en raison d’une exploitation active, tout en supprimant cinq bogues de la liste en raison du manque de preuves adéquates.
Les vulnérabilités nouvellement ajoutées sont ci-dessous –
- CVE-2023-42793 (score CVSS : 9,8) – Vulnérabilité de contournement de l’authentification JetBrains TeamCity
- CVE-2023-28229 (score CVSS : 7,0) – Vulnérabilité d’escalade des privilèges du service d’isolation de clé CNG de Microsoft Windows
CVE-2023-42793 concerne une vulnérabilité critique de contournement d’authentification qui permet l’exécution de code à distance sur TeamCity Server. Les données recueillies par GreyNoise ont révélé des tentatives d’exploitation ciblant la faille de 74 adresses IP uniques à ce jour.
D’un autre côté, CVE-2023-28229 est un défaut de grande gravité dans le service d’isolation de clé cryptographique de nouvelle génération (CNG) de Microsoft Windows qui permet à un attaquant d’obtenir des privilèges SYSTÈME limités spécifiques.
Il n’existe actuellement aucun rapport public documentant l’exploitation du bug dans la nature, et la CISA n’a divulgué aucun autre détail sur les attaques ou les scénarios d’exploitation. Une preuve de concept (PoC) a été mise à disposition au début du mois dernier.
Microsoft, pour sa part, a étiqueté CVE-2023-28229 avec une évaluation « Exploitation moins probable ». C’était patché par le géant de la technologie dans le cadre des mises à jour du Patch Tuesday publiées en avril 2023.
L’agence de cybersécurité a également supprimé cinq failles affectant Owl Labs Meeting Owl du catalogue KEV, citant des « preuves insuffisantes ».
Alors que CVE-2022-31460 a été ajouté en juin 2022, quatre autres vulnérabilités (CVE-2022-31459, CVE-2022-31461, CVE-2022-31462 et CVE-2022-31463) ont été ajoutées le 18 septembre 2023.
À la lumière de l’exploitation active des deux failles, les agences du pouvoir exécutif civil fédéral (FCEB) sont tenues d’appliquer les correctifs fournis par le fournisseur d’ici le 25 octobre 2023, afin de sécuriser leurs réseaux contre les menaces potentielles.