L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a fixé au 17 novembre 2023 la date limite aux agences et organisations fédérales pour appliquer des mesures d’atténuation afin de se protéger contre un certain nombre de failles de sécurité dans Juniper Junos OS révélées en août.
L’agence a ajouté lundi cinq vulnérabilités au catalogue des vulnérabilités exploitées connues (KEV), sur la base de preuves d’exploitation active –
- CVE-2023-36844 (score CVSS : 5,3) – Vulnérabilité de modification de variable externe PHP Juniper Junos OS EX Series
- CVE-2023-36845 (score CVSS : 5,3) – Vulnérabilité de modification de variable externe PHP Juniper Junos OS EX Series et SRX Series
- CVE-2023-36846 (score CVSS : 5,3) – Authentification manquante Juniper Junos OS SRX Series pour vulnérabilité de fonction critique
- CVE-2023-36847 (score CVSS : 5,3) – Authentification manquante Juniper Junos OS EX Series pour vulnérabilité de fonction critique
- CVE-2023-36851 (score CVSS : 5,3) – Authentification manquante Juniper Junos OS SRX Series pour vulnérabilité de fonction critique
Selon Juniper, les vulnérabilités pourraient être transformées en chaîne d’exploitation pour permettre l’exécution de code à distance sur des appareils non corrigés. Le CVE-2023-36851 a également été ajouté à la liste, qui a été décrit comme une variante de la faille de téléchargement SRX.
Juniper, dans une mise à jour de son avis du 8 novembre 2023, a déclaré qu’il était « désormais conscient de l’exploitation réussie de ces vulnérabilités », recommandant aux clients de mettre à jour vers les dernières versions avec effet immédiat.
Les détails entourant la nature de l’exploitation sont actuellement inconnus.
Dans une alerte distincte, la CISA a également averti que le groupe de ransomwares Royal pourrait être rebaptisé BlackSuit en raison du fait que ce dernier partage « un certain nombre de caractéristiques de codage identifiées similaires à celles de Royal ».
Ce développement intervient alors que Cyfirma a révélé que des exploits pour des vulnérabilités critiques sont proposés à la vente sur les forums darknet et les chaînes Telegram.
« Ces vulnérabilités englobent l’élévation de privilèges, le contournement d’authentification, l’injection SQL et l’exécution de code à distance, ce qui pose des risques de sécurité importants », a déclaré la société de cybersécurité, ajoutant que « les groupes de ransomwares recherchent activement des vulnérabilités zero-day dans des forums clandestins pour compromettre un grand nombre de personnes ». nombre de victimes. »
Cela fait également suite aux révélations de Huntress selon lesquelles les acteurs malveillants ciblent plusieurs établissements de santé en abusant de l’outil d’accès à distance ScreenConnect largement utilisé par Transaction Data Systems, un fournisseur de logiciels de gestion de pharmacie, pour l’accès initial.
« L’acteur malveillant a pris plusieurs mesures, notamment en installant des outils d’accès à distance supplémentaires tels que des instances ScreenConnect ou AnyDesk, pour garantir un accès persistant aux environnements », a noté Huntress.
