L’entreprise de cybersécurité SonicWall a averti ses clients que plusieurs vulnérabilités affectant ses appareils Secure Mobile Access (SMA) sont désormais activement exploitées lors d’attaques.
Mardi, SonicWall a mis à jour ses bulletins de sécurité concernant les failles CVE-2023-44221 et CVE-2024-38475, signalant que ces deux vulnérabilités sont « potentiellement exploitées dans la nature ».
La faille CVE-2023-44221 est décrite comme une vulnérabilité d’injection de commandes de haute gravité, causée par une neutralisation incorrecte des éléments spéciaux dans l’interface de gestion SSL-VPN SMA100. Elle permet à des attaquants disposant de privilèges administrateur d’injecter des commandes arbitraires en tant qu’utilisateur « nobody ».
La seconde faille de sécurité, CVE-2024-38475, est classée comme critique. Elle résulte d’un échappement incorrect de la sortie dans ‘mod_rewrite’ d’Apache HTTP Server version 2.4.59 et antérieures. Une exploitation réussie permet à des attaquants distants non authentifiés d’exécuter du code en associant des URL à des emplacements du système de fichiers que le serveur est autorisé à servir.
Ces deux vulnérabilités affectent les appareils SMA 200, SMA 210, SMA 400, SMA 410 et SMA 500v, et sont corrigées dans la version du firmware 10.2.1.14-75sv ou ultérieure.
« Lors d’analyses supplémentaires, SonicWall et ses partenaires de confiance en cybersécurité ont identifié une technique d’exploitation supplémentaire utilisant CVE-2024-38475, par laquelle un accès non autorisé à certains fichiers pourrait permettre un détournement de session », a averti SonicWall dans un avis mis à jour.
« L’analyse a également révélé que la vulnérabilité CVE-2023-44221 – Injection de commandes système post-authentification – est potentiellement exploitée dans la nature », a-t-elle ajouté. « Le PSIRT de SonicWall recommande aux clients de vérifier leurs appareils SMA pour s’assurer qu’aucune connexion non autorisée n’a eu lieu. »
Plus tôt ce mois-ci, la société a signalé une autre vulnérabilité de haute gravité (CVE-2021-20035) corrigée depuis près de quatre ans, qui est de nouveau exploitée dans des attaques d’exécution de code à distance ciblant les appareils VPN SMA100. Le lendemain, la société de cybersécurité Arctic Wolf a indiqué que cette vulnérabilité était exploitée activement depuis au moins janvier 2025.
La CISA (Cybersecurity and Infrastructure Security Agency) a également ajouté cette faille à son catalogue des vulnérabilités connues exploitées, ordonnant aux agences fédérales américaines de sécuriser leurs réseaux face aux attaques en cours.
En janvier, SonicWall avait déjà exhorté les administrateurs à corriger une faille critique dans les passerelles d’accès sécurisé SMA1000, exploitée dans le cadre d’attaques zero-day. Un mois plus tard, l’entreprise mettait en garde contre une faille d’usurpation d’authentification activement exploitée dans les pare-feu Gen 6 et Gen 7, permettant aux hackers de détourner des sessions VPN.
Ingénieur en sécurité informatique. Rédacteur pour VPN Club.
Avertissement : Nous pouvons recevoir des commissions d'affiliation pour les produits et services recommandés, sans frais supplémentaires pour vous. En savoir plus...