Quelles sont les principales vulnérabilités des sites Web et des applications ?

L'Agence nationale de sécurité des États-Unis (NSA) a publié aujourd'hui un rapport détaillé détaillant les 25 principales vulnérabilités qui sont actuellement systématiquement analysées, ciblées et exploitées par des groupes de piratage parrainés par l'État chinois.

Les 25 bogues de sécurité sont bien connus et disposent de correctifs disponibles auprès de leurs fournisseurs, prêts à être installés.

Les exploits de nombreuses vulnérabilités sont également accessibles au public. Certains n’ont pas été exploités uniquement par des pirates informatiques chinois, mais ont également été intégrés à l’arsenal de gangs de ransomwares, de groupes de logiciels malveillants de bas niveau et d’acteurs étatiques d’autres pays (par exemple, la Russie et l’Iran).

"La plupart des vulnérabilités répertoriées ci-dessous peuvent être exploitées pour obtenir un premier accès aux réseaux des victimes à l'aide de produits directement accessibles depuis Internet et agissant comme des passerelles vers les réseaux internes", a déclaré aujourd'hui la NSA.

L'agence américaine de cybersécurité exhorte les organisations des secteurs public et privé américains à corriger leurs systèmes pour corriger les vulnérabilités répertoriées ci-dessous.

Il s'agit notamment de:

1) CVE-2019-11510 – Sur les serveurs Pulse Secure VPN, un attaquant distant non authentifié peut envoyer un URI spécialement conçu pour exécuter une vulnérabilité de lecture de fichier arbitraire. Cela peut conduire à l'exposition de clés ou de mots de passe

2) CVE-2020-5902 – Sur les proxys F5 BIG-IP et l'équilibreur de charge, l'interface utilisateur de gestion du trafic (TMUI) — également appelée utilitaire de configuration — est vulnérable à une vulnérabilité d'exécution de code à distance (RCE) qui peut permettre à distance attaquants pour s'emparer de l'intégralité du dispositif BIG-IP.

3) CVE-2019-19781 – Les systèmes Citrix Application Delivery Controller (ADC) et Gateway sont vulnérables à un bogue de traversée de répertoire, qui peut conduire à l’exécution de code à distance sans que l’attaquant n’ait besoin de posséder des informations d’identification valides pour l’appareil. Ces deux problématiques peuvent s’enchaîner pour prendre le dessus sur les systèmes Citrix.

4+5+6) CVE-2020-8193, CVE-2020-8195, CVE-2020-8196 – Un autre ensemble de bogues Citrix ADC et Gateway. Ceux-ci ont également un impact sur les systèmes SDWAN WAN-OP. Les trois bogues permettent un accès non authentifié à certains points de terminaison d'URL et la divulgation d'informations à des utilisateurs peu privilégiés.

7) CVE-2019-0708 (alias BlueKeep) – Une vulnérabilité d'exécution de code à distance existe dans les services Bureau à distance sur les systèmes d'exploitation Windows.

8) CVE-2020-15505 – Une vulnérabilité d'exécution de code à distance dans le logiciel de gestion des appareils mobiles (MDM) MobileIron qui permet à des attaquants distants d'exécuter du code arbitraire et de prendre le contrôle des serveurs distants de l'entreprise.

9) CVE-2020-1350 (alias SIGRed) – Une vulnérabilité d'exécution de code à distance existe dans les serveurs Windows Domain Name System lorsqu'ils ne parviennent pas à traiter correctement les requêtes.

10) CVE-2020-1472 (alias Netlogon) – Une vulnérabilité d'élévation de privilèges existe lorsqu'un attaquant établit une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine à l'aide du protocole Netlogon Remote (MS-NRPC).

11) CVE-2019-1040 – Il existe une vulnérabilité de falsification dans Microsoft Windows lorsqu'un attaquant de l'homme du milieu parvient à contourner la protection NTLM MIC (Message Integrity Check).

12) CVE-2018-6789 – L'envoi d'un message artisanal à un agent de transfert de courrier Exim peut provoquer un débordement de tampon. Cela peut être utilisé pour exécuter du code à distance et prendre en charge les serveurs de messagerie.

13) CVE-2020-0688 – Une vulnérabilité d'exécution de code à distance existe dans le logiciel Microsoft Exchange lorsque le logiciel ne parvient pas à gérer correctement les objets en mémoire.

14) CVE-2018-4939 – Certaines versions d'Adobe ColdFusion présentent une vulnérabilité exploitable de désérialisation des données non fiables. Une exploitation réussie pourrait conduire à l’exécution de code arbitraire.

15) CVE-2015-4852 – Le composant de sécurité WLS dans Oracle WebLogic 15 Server permet aux attaquants distants d'exécuter des commandes arbitraires via un objet Java sérialisé contrefait.

16) CVE-2020-2555 – Une vulnérabilité existe dans le produit Oracle Coherence d'Oracle Fusion Middleware. Cette vulnérabilité facilement exploitable permet à un attaquant non authentifié disposant d'un accès réseau via T3 de compromettre les systèmes Oracle Coherence.

17) CVE-2019-3396 – La macro Widget Connector dans Atlassian Confluence 17 Server permet aux attaquants distants de réaliser une traversée de chemin et l'exécution de code à distance sur une instance Confluence Server ou Data Center via l'injection de modèles côté serveur.

18) CVE-2019-11580 – Les attaquants capables d'envoyer des requêtes à une instance Atlassian Crowd ou Crowd Data Center peuvent exploiter cette vulnérabilité pour installer des plugins arbitraires, ce qui permet l'exécution de code à distance.

19) CVE-2020-10189 – Zoho ManageEngine Desktop Central permet l'exécution de code à distance en raison de la désérialisation des données non fiables.

20) CVE-2019-18935 – L'interface utilisateur Progress Telerik pour ASP.NET AJAX contient une vulnérabilité de désérialisation .NET. L’exploitation peut entraîner l’exécution de code à distance.

21) CVE-2020-0601 (alias CurveBall) – Il existe une vulnérabilité d'usurpation d'identité dans la manière dont Windows CryptoAPI (Crypt32.dll) valide les certificats Elliptic Curve Cryptography (ECC). Un attaquant pourrait exploiter cette vulnérabilité en utilisant un certificat de signature de code falsifié pour signer un exécutable malveillant, donnant ainsi l'impression que le fichier provenait d'une source fiable et légitime.

22) CVE-2019-0803 – Une vulnérabilité d'élévation de privilèges existe dans Windows lorsque le composant Win32k ne parvient pas à gérer correctement les objets en mémoire.

23) CVE-2017-6327 – Symantec Messaging Gateway peut rencontrer un problème d'exécution de code à distance.

24) CVE-2020-3118 – Une vulnérabilité dans la mise en œuvre du protocole de découverte Cisco pour le logiciel Cisco IOS XR pourrait permettre à un attaquant adjacent non authentifié d'exécuter du code arbitraire ou de provoquer le rechargement d'un périphérique affecté.

25) CVE-2020-8515 – Les appareils DrayTek Vigor permettent l'exécution de code à distance en tant que root (sans authentification) via des métacaractères shell.

En savoir plus ici.