L’Agence am\u00e9ricaine de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des infrastructures (CISA) a ajout\u00e9 lundi la vuln\u00e9rabilit\u00e9 d’ex\u00e9cution de code \u00e0 distance (RCE) r\u00e9cemment divulgu\u00e9e affectant le Spring Framework, \u00e0 son Catalogue des vuln\u00e9rabilit\u00e9s exploit\u00e9es connues<\/a> sur la base de “preuves d’exploitation active”.<\/p>\n La faille de gravit\u00e9 critique, attribu\u00e9e \u00e0 l’identifiant CVE-2022-22965 (score CVSS\u00a0: 9,8) et surnomm\u00e9e “Spring4Shell”, affecte les applications Spring model-view-controller (MVC) et Spring WebFlux ex\u00e9cut\u00e9es sur Java Development Kit 9 et versions ult\u00e9rieures.<\/p>\n “L’exploitation n\u00e9cessite un point de terminaison avec DataBinder activ\u00e9 (par exemple, une requ\u00eate POST qui d\u00e9code automatiquement les donn\u00e9es du corps de la requ\u00eate) et d\u00e9pend fortement du conteneur de servlets pour l’application”, ont not\u00e9 la semaine derni\u00e8re les chercheurs pr\u00e9toriens Anthony Weems et Dallas Kaman.<\/p>\n Bien que les d\u00e9tails exacts des abus dans la nature restent flous, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de l’information SecurityScorecard mentionn\u00e9<\/a> “Une analyse active de cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 observ\u00e9e provenant des suspects habituels comme l’espace IP russe et chinois.”<\/p>\n Des activit\u00e9s de num\u00e9risation similaires ont \u00e9t\u00e9 rep\u00e9r\u00e9es par Akama\u00ef<\/a> et Palo Alto Networks Unit\u00e942<\/a>les tentatives menant au d\u00e9ploiement d’un shell Web pour l’acc\u00e8s par porte d\u00e9rob\u00e9e et \u00e0 l’ex\u00e9cution de commandes arbitraires sur le serveur dans le but de diffuser d’autres logiciels malveillants ou de se propager au sein du r\u00e9seau cible.<\/p>\n Selon statistiques<\/a> publi\u00e9es par Sonatype, les versions potentiellement vuln\u00e9rables du Spring Framework repr\u00e9sentent 81 % du total des t\u00e9l\u00e9chargements depuis le r\u00e9f\u00e9rentiel Maven Central depuis que le probl\u00e8me a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 le 31 mars.<\/p>\n Cisco, qui est enqu\u00eatant activement<\/a> son line-up pour d\u00e9terminer lequel d’entre eux pourrait \u00eatre impact\u00e9 par la vuln\u00e9rabilit\u00e9, a confirm\u00e9 que trois de ses produits sont concern\u00e9s –<\/p>\n VMware, pour sa part, a \u00e9galement consid\u00e9r\u00e9 trois de ses produits comme vuln\u00e9rables, proposant des correctifs et des solutions de contournement le cas \u00e9ch\u00e9ant –<\/p>\n “Un acteur malveillant disposant d’un acc\u00e8s r\u00e9seau \u00e0 un produit VMware impact\u00e9 peut exploiter ce probl\u00e8me pour obtenir le contr\u00f4le total du syst\u00e8me cible”, explique VMware. mentionn\u00e9<\/a> dans le conseil.<\/p>\n La CISA a \u00e9galement ajout\u00e9 au catalogue deux failles zero-day corrig\u00e9es par Apple la semaine derni\u00e8re (CVE-2022-22674 et CVE-2022-22675) et une lacune critique dans les routeurs D-Link (CVE-2021-45382) qui a \u00e9t\u00e9 activement militaris\u00e9 par la campagne DDoS bas\u00e9e sur Beastmode Mirai.<\/p>\n Conform\u00e9ment \u00e0 la directive op\u00e9rationnelle contraignante (BOD) Publi\u00e9<\/a> par la CISA en novembre 2021, les agences du Pouvoir ex\u00e9cutif civil f\u00e9d\u00e9ral (FCEB) sont tenues de rem\u00e9dier aux vuln\u00e9rabilit\u00e9s identifi\u00e9es d’ici le 25 avril 2022.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/div>\n\n
\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n