L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajoutée six failles de sécurité à ses vulnérabilités exploitées connues (KEV), citant des preuves d’une exploitation active.
Ceci comprend CVE-2023-27524 (score CVSS : 8,9), une vulnérabilité de haute gravité affectant le logiciel open source de visualisation de données Apache Superset qui pourrait permettre l’exécution de code à distance. Cela a été corrigé dans la version 2.1.
Les détails du problème ont été révélés pour la première fois en avril 2023, Naveen Sunkavally d’Horizon3.ai le décrivant comme une « configuration par défaut dangereuse dans Apache Superset qui permet à un attaquant non authentifié d’exécuter du code à distance, de récolter des informations d’identification et de compromettre des données ».
On ne sait actuellement pas comment cette vulnérabilité est exploitée dans la nature. Cinq autres failles ont également été ajoutées par CISA :
- CVE-2023-38203 (score CVSS : 9,8) – Désérialisation Adobe ColdFusion de la vulnérabilité des données non fiables
- CVE-2023-29300 (score CVSS : 9,8) – Désérialisation Adobe ColdFusion de la vulnérabilité des données non fiables
- CVE-2023-41990 (score CVSS : 7,8) – Vulnérabilité d’exécution de code dans plusieurs produits Apple
- CVE-2016-20017 (score CVSS : 9,8) – Vulnérabilité d’injection de commande des appareils D-Link DSL-2750B
- CVE-2023-23752 (score CVSS : 5,3) – Joomla! Vulnérabilité de contrôle d’accès inapproprié
Il convient de noter que CVE-2023-41990, corrigé par Apple dans iOS 15.7.8 et iOS 16.3, a été utilisé par des acteurs inconnus dans le cadre d’attaques de logiciels espions Operation Triangulation pour réaliser l’exécution de code à distance lors du traitement d’une pièce jointe PDF iMessage spécialement conçue.
Il a été recommandé aux agences du Pouvoir exécutif civil fédéral (FCEB) d’appliquer des correctifs aux bogues susmentionnés d’ici le 29 janvier 2024, afin de sécuriser leurs réseaux contre les menaces actives.