Vulnérabilités critiques de type « zero day » dans les produits Pulse Secure et SonicWall

Hacker Cyberattaque Piratage
Des vulnérabilités critiques affectant des produits de sécurité de Pulse Secure et SonicWall ont été publiées le 20 avril. Selon les informations dont nous disposons, ces vulnérabilités ont déjà sporadiquement été exploitées afin d’accéder aux réseaux d’entreprises (exploitations de type « zero day »). 
Les produits suivants sont affectés :

Editeur : SonicWall

Produit : SonicWall Email Security (ES)

Vulnérabilités :
CVE-2021-20021        Unauthorized administrative account creation
CVE-2021-20022        Post-authentication arbitrary file upload
CVE-2021-20023        Post-authentication arbitrary file read

Il est recommandé aux exploitants de ce produit d’installer urgemment le correctif de sécurité adéquat (hotfix 10.0.9.6173, respectivement 10.0.9.6177).

De plus amples informations concernant ces vulnérabilités sont disponibles de la part de l’éditeur sur :

https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/

 

Editeur : Pulse Secure

Produit : Pulse Connect Secure

Vulnérabilité :
CVE-2021-22893        Remote Code Execution (RCE)

Aucun correctif de sécurité n’a pour l’instant encore été publié pour combler cette faille. L’éditeur a cependant publié une solution palliative que nous recommandons d’implémenter au plus vite :
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/

De plus, il est recommandé l’utilisation du « Pulse Connect Secure Integrity Tool » sur les équipements concernés :
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
Il est à souligner que des vulnérabilités similaires ont été exploitées récemment par des criminels pour permettre des intrusions dans des réseaux d’entreprises afin de les chiffrer à l’aide de rançongiciels, non sans avoir préalablement volés de grandes quantités de données pour soumettre la victime à un chantage supplémentaire. De ce fait, le risque représenté par les failles susmentionnées est considéré comme « très élevé ».

De manière générale, nous recommandons l’implémentation des mesures suivantes pour tout accès distant tel que VPN, Citrix ou autre Webmail :

  • L’accès doit impérativement être sécurisé par un second facteur d’authentification (2FA). Les accès distants basés uniquement sur un couple username & mot de passe doivent être prohibés.
  • Les produits utilisés doivent journalisés autant les tentatives de connexions réussies que les échecs (logging).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *