A zero-day (also known as zero-hour or 0-day) vulnerability is an undisclosed computer application vulnerability that could be exploited to adversely affect the computer programs, data, additional computers or a network. It is known as a "zero-day" because once the flaw becomes known, the application author has zero days in which to plan and advise any mitigation against its exploitation (by, for example, advising workarounds or issuing patches). Attacks employing zero-day exploits are often attempted before or on the day that notice of the vulnerability is released to the public; sometimes before the author is aware or has developed and made available corrected code. Zero-day attacks are a severe threat.

Des vulnérabilités 0-Day actuellement exploitées ont été publiées

Cette semaine, plusieurs vulnérabilités 0-day critiques ont été divulguées et sont actuellement exploitées dans le cadre de campagnes d’attaques.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Ces trois produits ont fait l’objet de vulnérabilités critiques exploitées lors de campagnes d’attaques.

La première vulnérabilité impacte le serveur VPN Pulse Secure Connect. Cette vulnérabilité, référencée CVE-2021-22893, provenait d’une erreur au sein des fonctionnalités Windows File Share Browser et Pulse Secure Collaboration. Un attaquant distant et non authentifié pouvait exploiter cette vulnérabilité en envoyant une requête spécifiquement conçue sur une URL spécifique afin de contourner le mécanisme d’authentification et d’exécuter des commandes arbitraires directement sur le système.

Cette vulnérabilité possède le score CVSSv3 maximal de 10, indiquant que son exploitation est triviale et que son impact est critique. De plus, ce service étant utilisé afin de fournir un accès à distance au Système d’Information pour les utilisateurs, ce type d’interface est généralement exposé sur Internet sans restrictions ni mécanismes de sécurités supplémentaires (comme un filtrage par adresse IP).

Aucun correctif n’est disponible à l’heure actuelle pour cette vulnérabilité. PulseSecure a annoncé qu’un correctif est en développement et que ce dernier devrait être disponible début mai 2021.

Par ailleurs, une solution de contournement est disponible afin de se prémunir contre cette vulnérabilité. De plus, PulseSecure a développé un script afin de pouvoir vérifier l’intégrité des serveurs exposant une interface Pulse Secure Connect. Ce dernier est disponible directement depuis leur centre d’assistance.

Le second produit sous la lumière des projecteurs est SonicWall Email Security, qui est impacté par 3 vulnérabilités critiques. Ces trois vulnérabilités, référencées CVE-2021-20021, CVE-2021-20022 et CVE-2021-20023, provenaient respectivement d’une erreur de vérification des droits sur les requêtes HTTP à destination de l’endpoint createou et d’un manque de vérification des fichiers et des URI au sein de la fonctionnalité de branding.

Un attaquant chainant ces trois vulnérabilités était en mesure de contourner le mécanisme d’authentification et de déposer un webshell afin d’exécuter des commandes arbitraires sur le serveur avec les droits NT AUTHORITY\SYSTEM.

Bien que l’exposition sur Internet de ce type d’interface n’est pas courante, cette vulnérabilité représente une menace supplémentaire pour les entreprises. Un correctif de sécurité est toutefois disponible pour remédier à ces trois vulnérabilités depuis le portail de SonicWall.

Enfin, les produits Trend Micro ont aussi fait l’objet d’une vulnérabilité critique. Impactant les solutions Apex One et OfficeScan XG, la vulnérabilité référencée CVE-2020-24557 permettait à un attaquant disposant d’un compte local de désactiver une fonctionnalité de sécurité en manipulant un dossier du produit dans le but d’élever ses privilèges.

Cette vulnérabilité fait partie d’un lot de 5 vulnérabilités corrigé par Trend Micro, le correctif est disponible directement depuis leur site

Le CERT-XMCO vous recommande d’appliquer en priorité cette solution de contournement et ces correctifs, ainsi que de vérifier l’intégrité du serveur si une interface vulnérable est exposée.

Références

Out-of-Cycle Advisory: Pulse Connect Secure RCE Vulnerability
Pulse Connect Secure (PCS) Integrity Assurance
Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day
Security Notice: SonicWall Email Security Zero-Day Vulnerabilities
Zero-Day Exploits in SonicWall Email Security Lead to Enterprise Compromise
Security Bulletin for Trend Micro Apex One, Apex One as a Service and OfficeScan XG SP1

Références XMCO

CXA-2021-1858
CXA-2021-1907
CXA-2021-1934


Noé Zalic