Le RSSI de l’Etat vient de publier par le biais du CERT-FR une liste de dix vulnérabilités, particulièrement critiques, découvertes en 2020 ou 2019, et particulièrement marquantes, parce que critiques, exploitées activement et, parfois, affectant des équipements nécessaires au travail à distance.
L’Anssi a sélectionné dix vulnérabilités marquantes, surtout en terme de criticité, repérées l’an dernier, voire en 2019. Car « malgré les publications de plusieurs avis de sécurité en 2019 concernant différents éditeurs de solutions VPN, l’Anssi a pu constater la présence d’un grand nombre d’équipements vulnérables exposés directement sur internet ». Dix CVE qui touchaient notamment les infrastructures et systèmes de connexion à distance.
A commencer par CVE-2019-11510, une vulnérabilité de certains équipements de Pulse Secure, dont son VPN SSL Pulse Connect Secure. Cette faille, activement exploitée, permettait à un attaquant de lire des des fichiers arbitraires à distance via le protocole HTTPS en créant une URI particulière. Avec pour résultat le vol d’authentifiants des utilisateurs du VPN. Suit dans la liste de l’Anssi CVE-2019-19781, affectant Citrix ADC et Citrix Gateway, permettant une exécution de code arbitraire à distance. Dévoilée avant que des correctifs ne soient publiés, cette vulnérabilité a fait l’objet de campagnes d’exploitation.
Exploitation active
En mai 2019, c’est Fortinet qui avertissait quant à CVE-2018-13379, qui touchait FortiOS. Elle permettait à des attaquants non authentifiés d’accéder aux fichiers systèmes via des requêtes HTTP spécialement conçues afin de récupérer des informations sensibles tels que les identifiants et les mots de passe. En novembre dernier, le CERT était prévenu de la diffusion sur Internet d’une liste d’équipements Fortinet vulnérables. CVE-2020-0688 affectait quant à elle Exchange de Microsoft, et permet une exécution de code arbitraire à distance par un utilisateur authentifié, et ainsi de pouvoir obtenir les droits de l’administrateur de domaine Active Directory.
Toujours chez Microsoft, CVE-2020-1350, située dans DNS Server, peut être exploitée par un attaquant qui aurait le contrôle d’un serveur DNS ayant autorité sur un nom de domaine Internet pour provoquer un dépassement de mémoire tampon et s’avère particulièrement grave. Mais peut-être moins que CVE-2020-1472, dit Netlogon. Affectant le protocole Netlogon Remote Protocol, cette vulnérabilité a fait l’objet d’une littérature abondante car, corrigée par Microsoft en août, elle aurait été exploitée dans le cadre de plusieurs attaques en fin d’année dernière. Elle a pour corollaire CVE-2020-1472, toujours sur le protocole Netlogon mais cette fois-ci affectant les serveurs Samba.
Microsoft plein de trous
La solution de gestion de configuration Saltstack était pour sa part affligée de deux vulnérabilités, CVE-2020-11651 et CVE-2020-11652. La première contournait le mécanisme d’authentification et par conséquent permettait d’exécuter du code arbitraire et la seconde d’accéder en lecture et en écriture à tout fichier présent dans le système de fichiers d’un équipement sur lequel Salt est installé. Combinée, elles compromettent l’ensemble des ressources gérées par Saltstack.
Enfin, CVE-2020-0796 affectait le protocole Server Message Block, et permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification, avec la capacité de compromettre toutes les machines connectées au serveur compromis.