Cette année démarre malheureusement avec plusieurs vulnérabilités critiques, référencées (CVE) et activement exploitées dans la nature par des attaquants opportunistes mais également pour des attaques ciblées.
D’ailleurs, la CISA (agence de défense américaine, un peu similaire à notre ANSSI) a référencé toutes ces vulnérabilités dans son « Known Exploited Vulnerabilities Catalog » c’est-à-dire la liste des vulnérabilités activement exploitées dans la nature par des attaquants : https://www.cisa.gov/known-exploited-vulnerabilities-catalog .
Ivanti VPN (anciennement Pulse Secure… anciennement Juniper Secure Access)
A priori, dans le cadre d'opérations offensives ciblées, deux vulnérabilités inconnues (0-days) critiques (combinées ensembles) ont été activement exploitées et (heureusement) identifiées par une équipe de défense : CVE-2023-46805 et CVE-2024-21887
Le Circl (CERT du Luxembourg) a publié un avis sur le sujet avec leur avis concernant ces équipements. https://circl.lu/pub/tr-78/
Ces équipements n'ont que peu évolué depuis Juniper (en dehors du nom du produit). Il s'agit d'un assemblage de technologies open source peu sûres. Le correctif n'étant pas encore disponible (prévu pour le 22 janvier), le Circl recommande d'ailleurs de désactiver le service d'accès distant.
Gitlab
Gitlab est l’un des outils de développement et d’intégration continue les plus connus et les plus utilisés.
Une vulnérabilité critique a été identifiée par un chercheur (dans le cadre d’un programme de bug bounty). Celle-ci, référencée CVE-2023-7028, permet tout simplement de réinitialiser le mot de passe d'un compte utilisateur en se faisant envoyer le lien de réinitialisation qui, normalement, devrait arriver dans la boite mail de l’utilisateur. Cela ne fonctionne que si l’utilisateur n’a pas activé l’authentification forte à facteurs multiples (MFA).
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
L’exploit est malheureusement assez simple, dans la requête de réinitialisation de mot de passe, il suffit de mettre 2 fois le champ contenant le mail de l’utilisateur : le légitime dans le premier et celui de l’attaquant dans le second.
En image :
Depuis l’annonce de la vulnérabilité, elle est activement exploitée dans la nature par des attaquants.
GitLab propose un correctif, donc :
- Mettez à jour https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
- Investiguez pour savoir si un compte n’a pas été compromis (regardez les réinitialisations de mot de passe des comptes dans MFA depuis début janvier, le 11/01 si vous êtes confiants 😉 )
- Activez le MFA pour vos utilisateurs (si ce n’est pas déjà fait).
Joomla
Joomla est un outil de gestion de contenu permettant de réaliser des sites web simplement, comme Wordpress.
Une vulnérabilité critique a été identifiée, référencée : CVE-2023-23752.
Elle permet d’accéder à l’API de Joomla sans authentification, d’obtenir des informations sur la configuration et dans certains cas, le mot de passe de l’administrateur.
Cette vulnérabilité touche les version 4.0.0 à 4.2.7 de Joomla : https://developer.joomla.org/security-centre/894-20230201-core-improper-access-check-in-webservice-endpoints.html
Donc :
1. Mettez à jour en 4.2.8
2. Investiguez pour savoir si la vulnérabilité a été exploitée (vérifier les logs des accès API… si vous en avez)
3. Si vous doutez, changer le mot de passe de l’administrateur
4. N’exposez pas le portail d’administration de Joomla sur Internet !!!
Si vous souhaitez vérifier votre version de Joomla, utilisez cette URL (en remplaçant avec votre site) : https://monsite.com/administrator/manifests/files/joomla.xml
Bon courage à tous en ce début d'année 2024.
PS: merci à l'équipe PatrOwl pour le partage d'information.