Ces deux failles critiques ont été exploitées par des hackers d'État

La Cybersecurity and Infrastructure Security Agency (CISA) a alerté sur le fait que plusieurs failles étaient activement exploitées par des hackers d’État, dont deux sont considérées comme critiques.

Il s’agit de failles présentes dans les produits de VMWare et dans BIG-IP de l’entreprise F5.

Des failles importantes et critiques dans VMWare

La période est compliquée pour les entreprises, rendues vulnérables par des failles importantes dans deux produits : VMWare et BIG-IP. Le 18 mai, la CISA, l’agence chargée de la cybersécurité et de la sécurité des infrastructures aux États-Unis, a d’ailleurs sorti plusieurs bulletins pour annoncer que ces failles étaient activement exploitées, aussi bien par des hackers liés à un État que par des acteurs moins sophistiqués, à cause de preuves de concept qui ont été rendues publiques.

Les premières failles concernent certains produits de VMWare. Le 6 avril, ce dernier a publié un patch corrigeant deux failles dont une critique : la CVE-2022-22954, une vulnérabilité critique d’exécution de code à distance, et la CVE-2022-22960, une vulnérabilité d’élévation de privilèges. Même si ces failles n’avaient pas été dévoilées avant la sortie du patch, d’après la CISA, il aura suffi de 48 heures pour que des hackers d’État arrivent à déterminer comment les exploiter en se basant sur ce qui a été patché. D’après un chercheur en sécurité interrogé par Ars Technica, Troy Mursh, les failles seraient utilisées séparément ou en combinaison pour déployer des botnets, des mineurs de cryptomonnaie et des webshells.

Une situation d’autant plus dangereuse que deux failles supplémentaires dans les produits de VMWare ont été dévoilées et patchées récemment. La première, avec un score de sévérité de 9,8 (sur 10), est la CVE-2022-22972. C’est une vulnérabilité de contournement d’authentification, qui permet à un hacker, avec un accès réseau à l’interface utilisateur, d’obtenir un accès administratif sans avoir besoin de s’authentifier. La deuxième est la CVE-2022-22973, une vulnérabilité d’élévation locale de privilèges, grâce à laquelle il est possible à une personne avec un accès local d’élever ses privilèges jusqu’à « root ». Au vu de la rapidité avec laquelle les deux failles corrigées en avril ont été exploitées, la CISA alerte sur le fait que ces deux nouvelles vulnérabilités seront probablement rapidement utilisées par les attaquants.

Une vulnérabilité facile à exploiter

Autre faille qui a secoué le petit monde de la sécurité, la CVE-2022-1388, une vulnérabilité critique présente dans la gamme de produits BIG-IP de l’entreprise F5. En l’exploitant, un attaquant non authentifié peut prendre le contrôle des systèmes affectés, jusqu’à obtenir des privilèges « root », et ce, sans mot de passe. La faille étant assez simple à exploiter, des preuves de concept ont rapidement fleuri sur Internet. Si des chercheurs ont utilisé la faille pour leurs recherches, il a été établi par l’entreprise de sécurité Greynoise que désormais, la majorité des attaques sont réalisées à des fins malveillantes. Là aussi, les hackers installent trois types de logiciels : des webshells, des malwares pour réaliser des attaques DDOS et des mineurs de cryptomonnaie.

Au vu de la sévérité de ces failles et des cibles qui peuvent être touchées par des attaques les exploitant, principalement des entreprises et des agences gouvernementales, la CISA appelle donc toutes les personnes concernées à patcher au plus vite les produits vulnérables. Le risque ici est de voir fleurir des ransomwares et d’arriver à une situation similaire à celle qui avait suivi l’attaque sur SolarWinds.

Source : Ars Technica