L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté vendredi cinq failles de sécurité à ses vulnérabilités exploitées connues (KEV) catalogue, citant des preuves d’exploitation active dans la nature.
Cela inclut trois failles très graves dans le logiciel Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877 et CVE-2021-27878) qui pourraient conduire à l’exécution de commandes privilégiées sur le système sous-jacent. Les défauts étaient fixé dans un patch publié par Veritas en mars 2021.
- CVE-2021-27876 (Score CVSS : 8,1) – Vulnérabilité d’accès aux fichiers de l’agent Veritas Backup Exec
- CVE-2021-27877 (Score CVSS : 8,2) – Vulnérabilité d’authentification incorrecte de l’agent Veritas Backup Exec
- CVE-2021-27878 (Score CVSS : 8,8) – Vulnérabilité d’exécution des commandes de l’agent Veritas Backup Exec
Mandiant, propriété de Google, dans un rapport publié la semaine dernière, a révélé qu’un affilié associé à l’opération de rançongiciel BlackCat (alias ALPHV et Noberus) cible les installations Veritas Backup Exec exposées publiquement pour obtenir un accès initial en exploitant les trois bogues susmentionnés.
La société de renseignement sur les menaces, qui suit l’acteur affilié sous son surnom non catégorisé UNC4466, a déclaré avoir observé pour la première fois l’exploitation des failles dans la nature le 22 octobre 2022.
Dans un incident détaillé par Mandiant, l’UNC4466 a eu accès à un serveur Windows exposé à Internet, suivi d’une série d’actions qui ont permis à l’attaquant de déployer la charge utile du ransomware basé sur Rust, mais pas avant d’effectuer une reconnaissance, d’augmenter les privilèges et de désactiver La capacité de surveillance en temps réel de Microsoft Defender.
Également ajouté par CISA au catalogue KEV est CVE-2019-1388 (score CVSS : 7,8), une faille d’élévation de privilèges affectant la boîte de dialogue de certificat Microsoft Windows qui pourrait être exploitée pour exécuter des processus avec des autorisations élevées sur un hôte déjà compromis.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
La cinquième vulnérabilité incluse dans la liste est une faille de divulgation d’informations dans Arm Mali GPU Kernel Driver (CVE-2023-26083) qui a été révélé par le groupe d’analyse des menaces (TAG) de Google le mois dernier comme abusé par un fournisseur de logiciels espions anonyme dans le cadre d’une chaîne d’exploitation pour pénétrer dans les smartphones Android de Samsung.
Les agences fédérales du pouvoir exécutif civil (FCEB) ont jusqu’au 28 avril pour appliquer les correctifs afin de sécuriser leurs réseaux contre les menaces potentielles.
L’avis intervient également alors qu’Apple a publié des mises à jour pour iOS, iPadOS, macOS et le navigateur Web Safari pour corriger une paire de failles zero-day (CVE-2023-28205 et CVE-2023-28206) qui, selon elle, ont été exploitées en réalité. attaques mondiales.