Le fabricant d’\u00e9quipements de r\u00e9seau Zyxel a pouss\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour une vuln\u00e9rabilit\u00e9 critique affectant certains de ses produits de pare-feu et VPN d’entreprise qui pourraient permettre \u00e0 un attaquant de prendre le contr\u00f4le des appareils.<\/p>\n
“Une vuln\u00e9rabilit\u00e9 de contournement d’authentification caus\u00e9e par l’absence d’un m\u00e9canisme de contr\u00f4le d’acc\u00e8s appropri\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans le programme CGI de certaines versions de pare-feu”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. mentionn\u00e9<\/a> dans un avis publi\u00e9 cette semaine. “La faille pourrait permettre \u00e0 un attaquant de contourner l’authentification et d’obtenir un acc\u00e8s administratif \u00e0 l’appareil.”<\/p>\n La faille a re\u00e7u l’identifiant CVE-2022-0342<\/a> et est not\u00e9 9,8 sur 10 pour la gravit\u00e9. Alessandro Sgreccia de Tecnical Service Srl et Roberto Garcia H et Victor Garcia R d’Innotec Security sont cr\u00e9dit\u00e9s d’avoir signal\u00e9 le bogue.<\/p>\n Les produits Zyxel suivants sont concern\u00e9s\u00a0:<\/p>\n Bien qu’il n’y ait aucune preuve que la vuln\u00e9rabilit\u00e9 ait \u00e9t\u00e9 exploit\u00e9e dans la nature, il est recommand\u00e9 aux utilisateurs d’installer les mises \u00e0 jour du micrologiciel pour pr\u00e9venir toute menace potentielle.<\/p>\n La divulgation intervient alors que Sophos et SonicWall ont publi\u00e9 cette semaine des correctifs pour leurs appliances de pare-feu afin de r\u00e9soudre des failles critiques (CVE-2022-1040 et CVE-2022-22274) qui pourraient permettre \u00e0 un attaquant distant d’ex\u00e9cuter du code arbitraire sur les syst\u00e8mes concern\u00e9s.<\/p>\n La vuln\u00e9rabilit\u00e9 critique du pare-feu Sophos, qui a \u00e9t\u00e9 observ\u00e9e exploit\u00e9e dans des attaques actives contre certaines organisations en Asie du Sud, a depuis \u00e9t\u00e9 ajout\u00e9e par la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis \u00e0 son Catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues<\/a>.<\/p>\n A \u00e9galement \u00e9t\u00e9 ajout\u00e9e \u00e0 la liste une vuln\u00e9rabilit\u00e9 de t\u00e9l\u00e9chargement de fichier arbitraire de haute gravit\u00e9 dans le produit Apex Central de Trend Micro qui pourrait permettre \u00e0 un attaquant distant non authentifi\u00e9 de t\u00e9l\u00e9charger un fichier arbitraire, entra\u00eenant l’ex\u00e9cution de code (CVE-2022-26871<\/a>score CVSS : 8,6).<\/p>\n “Trend Micro a observ\u00e9 une tentative active d’exploitation contre cette vuln\u00e9rabilit\u00e9 \u00e0 l’\u00e9tat sauvage (ITW) dans un nombre tr\u00e8s limit\u00e9 de cas, et nous avons d\u00e9j\u00e0 \u00e9t\u00e9 en contact avec ces clients”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. mentionn\u00e9<\/a>. “Tous les clients sont fortement encourag\u00e9s \u00e0 mettre \u00e0 jour la derni\u00e8re version d\u00e8s que possible.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Alertes-CISA-sur-les-failles-activement-exploitees-dans-la-plate-forme.png\")
<\/a><\/div>\n\n
La CISA met en garde contre les failles activement exploit\u00e9es de Sophos et de Trend Micro <\/h3>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n