Les ennemis utilisent une vulnérabilité cruciale (CVE-2022-47986) dans l’option de transfert de fichiers centralisé IBM Aspera Faspex pour violer les entreprises.
À propos de CVE -2022-47986
IBM Aspera Faspex est utilisé par les organisations pour permettre aux membres du personnel d’échanger rapidement et en toute sécurité des fichiers entre eux. (Les fichiers sont publiés et téléchargés à partir d’un serveur de transfert Aspera centralisé.)
CVE-2022-47986 est une faille de désérialisation YAML qui peut être activée par des assaillants distants envoyant un appel d’API obsolète spécialement conçu. Cela affecte IBM Aspera Faspex 4.4.2 Patch Level 1 et les versions antérieures et permet l’exécution de code arbitraire.
Le problème, selon Caitlin Condon, scientifique en sécurité de Rapid7, est qu’Aspera Faspex est généralement configuré sur le périmètre du réseau et – certainement – que certaines organisations n’ont pas colmaté cette faille de sécurité spécifique lorsque IBM a proposé pour la première fois des correctifs.
Maintenant, approuvé, son score CVSS préliminaire (8,1) et la réalité qu’il était le plus hautement la vulnérabilité notée corrigée à l’époque pourrait avoir quelque chose à voir avec leur décision de ne pas repérer rapidement.
Pour eux, la note a donc été relevée à 9,8 (sur 10) pour refléter sa véritable sévérité. Plus important encore, Max Garrett – le scientifique qui l’a découvert – a publié des détails techniques et un code d’exploitation PoC.
Utilisant CVE-2022-47986
Les agresseurs ont commencé à l’exploiter presque immédiatement, et ils ne se sont pas arrêtés parce que.
Début mars, les scientifiques de SentinelOne ont repéré des assaillants brandissant le rançongiciel IceFire frappant les boîtes Linux d’organisations en Turquie, en Iran, au Pakistan et aux Émirats arabes unis. Greynoise a enregistré un certain nombre de tentatives d’exploitation au cours du mois dernier.
Condon de Rapid7 déclare également qu’ils comprennent au moins un incident récent où un client a été mis en danger par CVE-2022-47986.
L’entreprise a partagé des indications de compromis qui peuvent être utiles à ceux qui ont été compromis, mais qui n’ont pas encore eu de rançongiciel sur leurs systèmes (si la stratégie était de diffuser un rançongiciel et non l’exfiltration et l’extorsion d’informations) .
Il est conseillé aux administrateurs d’entreprise de mettre à niveau leur serveur IBM Aspera Faspex instantanément et de rechercher – et d’agir en conséquence – des preuves de compromission.
Toute l’actualité en temps réel, est sur L’Entrepreneur
