13 failles 0-day vectrices de cyberespionnage en 2022

Jusqu’où le cloud changera-t-il le paysage des failles 0-day ? Mandiant esquisse la question. Et raisonne sous deux angles. D’un côté, l’efficacité accrue du déploiement des correctifs. De l’autre, les signalements moins systématiques de la part des fournisseurs.

Sur la période de février 2022 à mars 2023, Mandiant a repéré 55 failles 0-day qu’il estime avoir été exploitées. C’est moins qu’en 2021 (81 failles), mais près de trois fois plus qu’en 2020. La baisse enregistrée cette année-là, suppose le groupe américain, peut être la conséquence d’une interruption des flux de reporting avec la pandémie. Ou d’une réduction de la capacité à détecter les activités des cybercriminels.

Sur ces 55 failles 0-day, près d’un tiers (18) touchent des produits Microsoft. Suivent ceux de Google (10) et ceux d’Apple (9). La catégorie de produits la plus affectée est celle des systèmes d’exploitation de bureau (15 pour Windows, 4 pour macOS). Elle devance les navigateurs (9 pour Chrome/Chromium, 2 pour Firefox), les outils de gestion IT/sécurité/réseau (10) et les OS mobiles (5 pour iOS, 1 pour Android).

Pour 13 de ces failles, Mandiant a pu établir un lien avec des acteurs du cyberespionnage qualifiables d’étatiques.

Des 0-day de Confluence à WebRTC

CVE-2022-24682
Cette faille XSS permet d’exécuter du code JavaScript arbitraire sur la version web de la suite Zimbra. Elle a notamment servi à cibler, en Europe, médias et entités gouvernementales.

CVE-2022-0609
Cette faille repose sur un problème de libération d’espace mémoire au niveau de la gestion des animations dans Chromium. Les secteurs financier et technologique ont été cibles d’attaques déclenchées par ce biais.

CVE-2022-26485
Cette faille implique aussi un bug mémoire, au niveau du moteur de rendu de Firefox, par manipulation d’un paramètre XSLT. Elle permet l’exécution distante de code.

CVE-2022-1040
Cette faille affecte le firewall Sophos. Elle permet de contourner l’authentification dans le portail utilisateur et la console web d’administration.

CVE-2022-30190, alias Follina
Cette faille permet d’exécuter du code à distance. Le vecteur : un appel à l’outil de diagnostic Microsoft (MSDT) via son protocole URL. Elle a servi comme support d’offensives contre le gouvernement des Philippines, des telcos asiatiques et des organisations russes.

CVE-2022-26134
Cette faille expose Confluence à des injections OGNL (voir notre article à son sujet).

CVE-2022-2294
Cette faille touche Chrome, au niveau de la brique WebRTC. Elle ouvre la voie à un dépassement de tas… et à une RCE.

Deux failles FortiOS sur la liste

CVE-2022-22047
Cette faille sur Windows Server touche le sous-système d’exécution du client (CSRSS). Permettant une élévation de privilèges, elle a servi de socle à des attaques contre des banques et des cabinets de conseil notamment en Autriche et au Royaume-Uni.

CVE-2022-41128
Cette faille permet aussi l’exécution de code à distance. Elle affecte Windows, au niveau de JScript9.

CVE-2022-42475
Cette faille touche la brique VPN SSL de FortiOS. Ouvrant la voie à une RCE par dépassement de tas, elle a permis de cibler, entre autres, un gouvernement en Europe et un MSP en Afrique.

CVE-2022-27518
Cette faille est liée à une mauvaise gestion des ressources dans les produits Citrix ADC et Gateway. À la clé, là aussi, une éventuelle RCE.

CVE-2022-41328
Autre faille touchant FortiOS. De type traversement de répertoire, elle permet la lecture et l’écriture hors limites.

CVE-2023-23397
Cette faille de type XSS se trouve dans le portail EZ-NET de Cedar Gate, qui fournit le secteur de la santé. La source : un mauvais traitement des données envoyées via un paramètre URL.

Toutes ces vulnérabilités ont fait l’objet de correctifs.

Photo d’illustration © TAW4 – Adobe Stock