Vulnérabilités : début d’automne dans la tempête

Atlassian vient de révéler une vulnérabilité inédite, référencée CVE-2023-22515, qui affecte Confluence Data Center et Server, deux versions autogérées de la suite de travail populaire d’Atlassian. Cette faille de sécurité critique d’élévation de privilèges a été activement exploitée par des attaquants externes pour créer des comptes administrateurs non autorisés dans Confluence et y accéder. Les versions antérieures à 8.0.0 ne sont pas touchées, mais les utilisateurs avec des versions affectées sont invités à mettre à jour vers des versions corrigées telles que 8.3.3 ou ultérieure, 8.4.3 ou ultérieure, et 8.5.2 (la « version à support à long terme ») ou ultérieure. Les instances Atlassian Cloud ne sont pas concernées. Mais cette vulnérabilité n’est que la dernière d’une longue et toute récente série.

L’agent de transfert de courriels (MTA) Exim est ainsi affecté par la vulnérabilité CVE-2023-17434, affichant un score de sévérité de rien moins que 9,8. Selon Onyphe, il faut compter plus de 1,6 million d’instances sur Internet. 

Avant cela, Progress Software avait levé le voile sur les vulnérabilités CVE-2023-40044 et CVE-2023-42657 affectant un module de WS_FTP Server. Malgré la disponibilité de démonstrateurs d’exploitation, elles sont, pour l’heure, relativement peu exploitées, du fait de conditions propices rarement réunies et d’un nombre d’instances exposées sur Internet limité. 

La vulnérabilité référencée CVE-2023-42793, affectant TeamCity de JetBrains, est en revanche activement exploitée dans le cadre de cyberattaques avec ransomware, selon Prodaft.

Cela vaut également pour la CVE-2023-32315 du serveur de messagerie instantanée XMPP Openfire. Bien qu’elle ait été corrigée au printemps, de nombreuses instances affectées restent en production.

La vulnérabilité CVE-2023-20109, affectant la fonctionnalité Group Encrypted Transport VPN (GET VPN) et Cisco IOS et Cisco IOS XE, est également exploitée activement : l’équipementier indique l’avoir découverte à l’occasion d’une « enquête interne ». Peu avant, il avait levé le voile sur plusieurs vulnérabilités affectant son Catalyst SD-WAN Manager, dont une affichant un score de sévérité de 9,8, la CVE-2023-20252. 

Par ailleurs, plusieurs milliers d’équipements Juniper SRX et EX sont désormais menacés par un exploit combinant deux vulnérabilités dévoilées durant l’été, les CVE-2023-36845 et CVE-2023-36846. L’équipementier souligne désormais l’importance d’appliquer ses recommandations. 

Un démonstrateur d’exploitation est également disponible depuis la fin septembre pour la vulnérabilité CVE-2023-29357 de SharePoint, pour laquelle un correctif est disponible depuis le mois de juin. Selon LeakIX, il faut compter au moins 200 instances concernées dans le monde, dont 7 en France. 

Et l’inventaire ne serait pas complet sans la CVE-2023-4911 de la librairie GNU C, glibc. Surnommée Looney Tunables, elle peut permettre à un attaquant d’obtenir les privilèges de super-administrateur, root, sur une instance Linux affectée. Elle a été introduite avec la version 2.34 de glibc, en avril 2021, et pourrait bien concerner longtemps des systèmes embarqués potentiellement difficiles à corriger – si tant est qu’ils soient rigoureusement maintenus.