Académie OSINT

Les 12 vulnérabilités les plus fréquemment exploitées en 2022 (4)

Related: Les 12 vulnérabilités les plus fréquemment exploitées en 2022 (3)

vulnerabilities

10–11.VMware Workspace One Access & Identity Manager (CVE-2022-22954, CVE-2022-22960)

VMware est un logiciel de virtualisation populaire qui est souvent la proie des cyberattaquants à tous les niveaux, y compris les groupes APT.L'exploitation des vulnérabilités dans VMware peut autoriser un accès non autorisé aux machines virtuelles et aux données critiques hébergées sur la plate-forme.Étant donné que VMware virtualise plusieurs systèmes sur un seul serveur physique, une attaque réussie pourrait compromettre plusieurs machines virtuelles à la fois.En règle générale, les attaquants choisissent de cibler les environnements VMware afin de prendre pied dans un réseau plus grand, en tirant parti de la confiance et de l'accessibilité de l'infrastructure virtualisée.La vulnérabilité VMware a pris deux places sur la liste des vulnérabilités de CISA cette année.

Premièrement, CVE-2022-22954 (score CVSS 9.8) est une vulnérabilité d'injection de modèle côté serveur qui peut être déclenchée par un acteur malveillant avec un accès réseau pour implémenter RCE dans l'espace de travail VMware One Access & Identity Manager.Après la publication du POC pour la vulnérabilité, les chercheurs en sécurité ont découvert qu'il était utilisé dans une attaque active pour infecter les serveurs avec des machines minières.

Deuxièmement, CVE-2022-22960 est une vulnérabilité d'escalade de privilège.Selon le CISA Advisory sur cette vulnérabilité, il permet à un acteur malveillant ayant un accès local à l'escalade des privilèges de rooter en raison d'autorisations incorrectes dans le script de support.S'il est lié à CVE-2022-22954, un attaquant peut exécuter des commandes de shell arbitraires en tant qu'utilisateur VMware, puis effacer les journaux, dégénérer les privilèges et se déplacer latéralement vers un autre système avec un accès racine.

12. F5 Networks Big-IP (CVE-2022-1388)

En septembre dernier, F5 a publié un patch pour une vulnérabilité RCE critique liée à la suite de produits Big-IP, et quelques jours plus tard, les chercheurs en sécurité ont pu créer un exploit pour la vulnérabilité.

Le CVE-2022-1388 (score CVSS 9.8) est classé comme une vulnérabilité d'authentification manquante impliquant un pontage d'authentification iControl Rest, ce qui pourrait conduire un attaquant à accéder et à prendre le contrôle d'un système Big-IP compromis.Un attaquant pourrait effectuer de nombreuses actions malveillantes telles que le chargement d'un shell web pour de futures attaques, le déploiement de mineurs de crypto-monnaie et la fuite de données sensibles.

Les défauts d'exécution du code à distance sont faciles à exploiter, ce qui en fait une cible pour les acteurs de menaces opportunistes.Chaque fois que des vulnérabilités sont découvertes dans les services orientés sur Internet, les acteurs de la menace ne seront pas rapidement exploités.Des vulnérabilités telles que CVE-2022-1388 offrent un accès initial immédiat au réseau cible et permettent souvent aux attaquants de mener des attaques par le mouvement latéral et l'escalade des privilèges.

Conclusion

Les équipes de sécurité des entreprises doivent reconnaître que des vulnérabilités plus anciennes existent toujours et continuer à constituer une menace importante.Alors que les derniers CVE sont souvent plus visibles, la liste annuelle des vulnérabilités couramment utilisées est un rappel clair que les vulnérabilités connues peuvent toujours faire des ravages sur les systèmes vulnérables.

En plus de la liste complète, CISA fournit des conseils aux fournisseurs et aux organisations technologiques pour identifier et atténuer les risques potentiels.Les recommandations comprennent l'adoption de pratiques sécurisées par conception et la priorité du correctif des vulnérabilités exploitées connues pour minimiser le risque de compromis.Les fournisseurs sont également encouragés à établir un processus de divulgation de vulnérabilité coordonné pour permettre une analyse des causes profondes des vulnérabilités découvertes.



Articles Liés:

Cas spécifiques de violation de données en 2022 (2)
Comment utiliser l'intelligence open source pour l'analyse de la surface d'attaque?
Quel est l'OPSEC originaire de l'armée américaine?
Comment utiliser les renseignements sur les menaces pour surveiller l'activité criminelle sur le Web Dark?(2)
Les informations sur de nombreuses sociétés automobiles ont été publiquement vendues sur le Dark Web