La CISA découvre deux vulnérabilités activement exploitées
L'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a trouvé deux vulnérabilités activement exploitées dans sa liste de vulnérabilités exploitées connues (KEV). La première est une vulnérabilité d'escalade des privilèges dans le cadre d'Android, CVE-2023-20963, et la seconde est une vulnérabilité de désérialisation non sécurisée dans le programme Novi Survey, CVE-2023-29492.
Selon la CISA, la vulnérabilité d'escalade des privilèges du cadre Android permet à un pirate d'obtenir un accès plus large sur des appareils Android non corrigés sans que l'utilisateur ne prenne aucune mesure. Google a admis que la vulnérabilité pouvait être exploitée de manière restreinte et ciblée, et la startup chinoise de commerce électronique Pinduoduo aurait utilisé cette vulnérabilité comme une journée zéro pour voler des données personnelles et prendre le contrôle d'appareils.
Une vulnérabilité de désérialisation non sécurisée dans le logiciel Novi Survey peut permettre à des attaquants distants d'exécuter un code arbitraire sur le serveur dans le contexte du compte de service dans la deuxième vulnérabilité. Le problème a été résolu dans la version actuelle, mais on ne sait toujours pas comment la vulnérabilité est utilisée dans des attaques réelles.
Il a été recommandé aux agences FCEB des États-Unis de mettre en œuvre les mises à jour appropriées d'ici le 4 mai 2023, afin d'atténuer les risques causés par les vulnérabilités. L'ordre opérationnel contraignant de novembre 2021 (BOD 22-01) exige que toutes les faiblesses de sécurité du catalogue KEV de CISA soient examinées et corrigées sur tous les réseaux gouvernementaux.
Il convient de mentionner que Google a résolu le problème lié à Android en mars 2023. Le fait que Pinduoduo ait exploité la faille en tant que zero-day pour prendre le contrôle d'appareils et voler des données sensibles soulève de graves inquiétudes quant à la sûreté et à la sécurité des applications obtenues à partir de sources non autorisées. Google a supprimé l'application officielle de Pinduoduo du Play Store en mars, bien que l'on ne sache pas exactement comment les fichiers APK ont été signés avec la même clé que celle utilisée pour signer l'application Pinduo proprement dite.
Les risques liés à ces vulnérabilités soulignent la nécessité de déployer des mises à jour logicielles en temps utile et de corriger les failles graves dès que possible afin de se prémunir contre les cyberattaques.
Les sources de cet article comprennent un article de TheHackerNews.