Cybersécurité : 15 vulnérabilités dans le viseur des Five Eyes

Les agences de cybersécurité des Five Eyes livrent une liste des 15 failles de sécurité les plus régulièrement exploitées. 11 ont été identifiées en 2021.

Après avoir alerté sur l’élévation du risque cyber en plein conflit Russie-Ukraine, l’alliance de renseignement dite des Five Eyes – États-Unis, Canada, Australie, Nouvelle-Zélande, Royaume-Uni – établit une liste des vulnérabilités les plus régulièrement exploitées.

Onze des quinze failles de sécurité listées ont été révélées l’an dernier.

« En 2021, des cyberacteurs malveillants ont agressivement visé les vulnérabilités logicielles critiques récemment révélées contre des ensembles vastes de cibles, parmi lesquelles des organisations des secteurs public et privé du monde entier », soulignent l’Agence américaine de sécurité des infrastructures et de cybersécurité (CISA) et ses partenaires*. En même temps, « l’exploitation d’anciennes vulnérabilités logicielles obsolètes et connues du public, dont certaines régulièrement exploitées en 2020 ou auparavant [a perduré] », ajoutent-ils.

Les failles de sécurité découvertes dans le composant Log4j, le serveur de messagerie Microsoft Exchange Server et l’espace de travail collaboratif Confluence édité par Atlassian, font partie des plus régulièrement exploitées par des « cyberacteurs malveillants ».

Log4j, Windows Exchange et Confluence

Les 15 vulnérabilités qui font l’objet d’une alerte de sécurité conjointe des Five Eyes sont :

# CVE-2021-44228 >

Cette vulnérabilité, connue sous le nom de Log4Shell, affecte la bibliothèque Log4j d’Apache, un framework de journalisation open source. Exploitée, la faille permet à un acteur malveillant de forcer un système à exécuter du code arbitraire, et de prendre le contrôle total du système.

# CVE-2021-26855, CVE-2021-26858, CVE-2021-26857 et CVE-2021-27065 >

Elles sont nommées par la communauté de cybersécurité ProxyLogon. Ces failles affectent Microsoft Exchange Server. Elles permettent, une fois exploitées, l’exécution de code arbitraire sur les serveurs de messagerie vulnérables. Des acteurs malveillants peuvent ainsi obtenir un accès persistant à des fichiers, boîtes mail et identifiants stockés sur les serveurs concernés.

# CVE-2021-34523, CVE-2021-34473 et CVE-2021-31207 >

Lire aussi : En miroir de la NIS2, l’ANSSI américaine s’interroge sur les ransomwares

Les failles de cette famille, Proxyshell, impactent également Microsoft Exchange Server. L’exploitation réussie de ces vulnérabilités combinées (« vulnerability chaining ») permet à un acteur malveillant d’injecter du code arbitraire à distance via le port 443, notamment grâce à une élévation de privilèges sur le back-end PowerShell.

# CVE-2021-26084 >

Cette vulnérabilité concerne l’outil Atlassian Confluence (Server et Data Center). Un acteur non authentifié peut exécuter du code arbitraire sur les serveurs vulnérables.

# CVE-2021-40539 >

Cette vulnérabilité affecte le logiciel Zoho ManageEngine ADSelfService Plus. Exploitée, elle permet également l’éxécution de code à distance (remote code execution ou RCE).

# CVE-2021-21972 >

La faille impacte vSphere Client (HTLM5) de VMware et permet l’injection de code à distance dans un plugin vCenter Server. Un acteur malveillant disposant d’un accès réseau au port 443 peut exploiter cette faille pour exécuter des commandes avec un niveau illimité de privilèges.

# CVE-2020-1472 >

Cette vulnérabilité, alias Zerologon, affecte le protocole Microsoft Netlogon Remote Protocol (MS-NRPC). Exploitée, elle peut permettre le détournement de contrôleurs de domaines Active Directory.

# CVE-2020-0688 >

Lire aussi : 8 failles logicielles qui ont marqué l’année 2023

Cette vulnérabilité d’exécution de code à distance dans le logiciel Microsoft Exchange peut occasionner une élévation de privilèges. Le problème réside dans l’incapacité du serveur à générer une clé cryptographique unique au moment de l’installation.

# CVE-2019-11510 >

Cette faille de lecture arbitraire de fichiers dans Pulse Connect Secure, outil VPN pour entreprises, permet à un attaquant distant non authentifié d’exécuter du code arbitraire à distance.

# CVE-2018-13379 >

La vulnérabilité affecte les systèmes FortiOS de Fortinet lorsque le service VPN SSL (FortiProxy) est activé. Des attaquants non authentifiés peuvent accéder aux fichiers systèmes via des requêtes HTTP, et obtenir un accès à des informations sensibles.

Pour réduire le risque, les agences de cybersécurité* des Fives Eyes recommandent aux organisations publiques et privées de corriger et mettre à niveau les logiciels en temps opportun et d’écarter les logiciels qui ne sont plus supportés par les fournisseurs.

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a également établi une liste de failles qu’elle recommande de corriger dans le contexte du conflit russo-ukrainien.

*_{CISA (Etats-Unis), CCCS (Canada), ACSC (Australie), NCSC NZ (Nouvelle Zélande), NCSC UK (Royaume-Uni).}

Lire aussi : Cybermenace : le panorama ANSSI en six graphiques