Votre CSIRT CyberCorsica vous informe des vulnérabilités critiques récemment identifiées. Il est impératif de mettre à jour vos systèmes sans délai pour protéger vos infrastructures contre les menaces potentielles.

1. Vulnérabilités critiques dans Fortinet FortiManager et FortiAnalyzer

• Description : Le 14 janvier 2025, Fortinet a publié des correctifs pour la vulnérabilité CVE-2024-50566, une faille de type jour-zéro permettant l’exécution de code arbitraire à distance sur les équipements FortiManager et certains modèles de FortiAnalyzer avec la fonctionnalité FortiManager activée. Cette vulnérabilité était activement exploitée, permettant à un attaquant de compromettre les systèmes vulnérables.
• Impact : Exécution de code arbitraire à distance, compromission complète des systèmes affectés.
• Action recommandée :
  • Appliquer immédiatement les correctifs fournis par Fortinet pour les versions affectées.
  • Restreindre l’accès aux interfaces d’administration aux adresses IP de confiance.
  • Surveiller les journaux des systèmes pour détecter toute activité suspecte.
• Sources :
  • CERT-FR

2. Contournement de la politique de l’Active Directory permettant l’utilisation de NTLMv1

• Description : Des chercheurs ont découvert une vulnérabilité dans Active Directory qui permet l’utilisation de NTLMv1, un protocole d’authentification obsolète et vulnérable. La politique de sécurité LMCompatibilityLevel, censée désactiver NTLMv1, peut être contournée par des clients non-Windows, permettant à un attaquant d’obtenir un accès non autorisé au réseau ou d’intercepter des données sensibles. Microsoft a annoncé son intention de désactiver NTLMv1 dans les futures versions de Windows.
• Impact : Accès non autorisé au réseau et interception de données sensibles.
• Action recommandée :
  • Surveiller les mises à jour de sécurité de Microsoft et préparer l’application des correctifs dès leur publication.
  • Restreindre l’utilisation de NTLMv1 en configurant les politiques de sécurité pour limiter les connexions aux clients approuvés.
• Sources :
  • CERT-FR

3. Vulnérabilité dans l’extension WordPress W3 Total Cache

• Description : Une vulnérabilité sévère, référencée CVE-2024-12365 (CVSS v3.1, 8.5), a été découverte dans l’extension WordPress W3 Total Cache. Cette faille permet à des attaquants authentifiés avec un rôle d’abonné ou supérieur de divulguer des données sensibles.
• Impact : Divulgation de données sensibles.
• Action recommandée : Mettre à jour l’extension vers la version 2.8.2 ou supérieure.
• Sources :
  • CERT-FR

4. Exploitation de serveurs IIS pour déployer une console malveillante

• Description : Une vulnérabilité dans les pages batchupload.aspx et email_settings.aspx des serveurs IIS permet à des attaquants de télécharger un shell malveillant dans le processus w3wp.exe. En exploitant cette faille, les attaquants peuvent exécuter des commandes via cmd.exe et Powershell.exe, mener des activités de reconnaissance et exfiltrer des données sensibles.
• Impact : Exécution de commandes non autorisées et exfiltration de données sensibles.
• Action recommandée :
  • Appliquer les correctifs disponibles pour les serveurs IIS.
  • Restreindre l’accès aux pages vulnérables et surveiller les journaux pour détecter toute activité suspecte.
• Sources :
  • CERT-FR

Pour toute assistance, contactez votre CSIRT CyberCorsica.