Zero-day : Les failles critiques qui ont marqué 2024

2024 a été une année marquée par l’émergence de plusieurs vulnérabilités zero-day critiques, exploitables par des attaquants avant même que des correctifs ne soient disponibles. Ces failles ont exposé de nombreuses organisations à des risques majeurs, allant du vol de données à la perte de contrôle des systèmes.

Dans cet article, nous allons nous concentrer sur les 10 vulnérabilités zero-day les plus impactantes de l’année, en mettant en évidence les composants affectés, les identifiants CVE et les scores CVSS qui ont suscité le plus d’inquiétudes.

 FortiManager : CVE-2024-47575   

•  Score CVSS : 9.8

•  Détail 

• • Une vulnérabilité critique dans le démon fgfmd de FortiManager a exposé les systèmes à une attaque potentiellement catastrophique.

  • Cette faille permettait à des attaquants distants non authentifiés d’envoyer des requêtes spécialement conçues qui exécutaient des commandes arbitraires sur le système ciblé.

  • L’absence de mécanismes d’authentification robustes pour ce processus critique a facilité l’exploitation de cette vulnérabilité.

  • Les attaquants pouvaient ainsi contourner les mesures de sécurité et obtenir un accès complet au système, y compris la modification des configurations, l’accès aux journaux sensibles et l’injection de commandes pour compromettre les opérations internes.

•  Exploitation technique 

• • Les attaquants détectaient les systèmes vulnérables connectés à Internet.

  • Ils envoyaient des requêtes malveillantes contenant des charges utiles visant à exploiter la vulnérabilité du démon fgfmd.

  • Une fois la vulnérabilité exploitée, les attaquants pouvaient établir un accès persisté pour maintenir le contrôle du système.

•  Conséquences 

• • Accès non autorisé à des données sensibles : Les attaquants pouvaient consulter et exfiltrer des informations confidentielles telles que les configurations réseau, les identifiants utilisateur et les journaux d’activité.

  • Contrôle total du réseau : La prise de contrôle des systèmes pouvait permettre de perturber les activités de l’entreprise, d’éteindre les services critiques et de manipuler les paramètres de sécurité.

  • Propagation de logiciels malveillants : Les attaquants pouvaient déployer des ransomwares ou d’autres formes de maliciels pour étendre l’impact de leur intrusion.

  • Atteinte à la confidentialité et à l’intégrité des données : Les données clients et les informations stratégiques pouvaient être altérées ou supprimées, entraînant une perte de confiance des partenaires et clients.

Pour se protéger contre ce type de vulnérabilités, il est crucial de mettre en place des mises à jour de sécurité régulières et de renforcer les mécanismes d’authentification pour les services critiques.

 Google Chrome : CVE-2024-7971   

•  Score CVSS :  9.6

•  Détail  

• • Une vulnérabilité critique liée à une confusion de types dans le moteur JavaScript V8 de Google Chrome permettait à des attaquants de créer des pages web malveillantes exploitant cette faille.

  • Cette erreur de gestion des types se produisait lorsque le moteur interprétait incorrectement certaines données, permettant l’exécution de code arbitraire.

•  Exploitation technique  

• • En incitant un utilisateur à visiter une page malveillante, les attaquants pouvaient contourner les protections de sécurité du navigateur et exécuter du code non autorisé sur la machine cible.

•  Conséquences  

• • Installation de logiciels malveillants à l’insu de l’utilisateur.

  • Compromission de la confidentialité via le vol de données.

  • Contrôle total du système cible.

 Ivanti Cloud Services Appliance : CVE-2024-8963   

•  Score CVSS :  9.4

•  Détail  

  • Une faille de traversée de répertoires permettait à des attaquants d’accéder à des fichiers arbitraires sur le système ciblé via des requêtes HTTP spécialement conçues.

  • Ce type de vulnérabilité survient lorsque les chemins de répertoires ne sont pas correctement validés.

•  Exploitation technique  

• • L’attaquant pouvait manipuler les requêtes pour remonter dans l’arborescence des répertoires et accéder à des fichiers sensibles.

•  Conséquences  

• • Exfiltration de données sensibles.

  • Exposition de configurations critiques et fichiers d’authentification.

  • Exécution potentielle de code à distance pour des attaques ultérieures.

 Palo Alto Networks Expedition : CVE-2024-5910   

•  Score CVSS : 9.3

•  Détail  

• • Une fonction critique sans authentification dans l’outil d’administration Expedition permettait à des attaquants ayant un accès réseau de prendre le contrôle du compte administrateur.

•  Exploitation technique  

• • En accédant directement à la fonction vulnérable sans fournir de crédentials, les attaquants pouvaient obtenir les droits administratifs.

•  Conséquences  

• • Prise de contrôle des paramètres du système.

  • Accès non autorisé aux données utilisateur.

  • Déstabilisation potentielle de la sécurité globale de l’infrastructure.

 Injection SQL dans Palo Alto Networks Expedition : CVE-2024-9465   

•  Score CVSS :  9.2

•  Détail 

  • Une vulnérabilité d’injection SQL permettait à des attaquants d’exposer et de manipuler les contenus de la base de données, notamment les mots de passe chiffrés, les configurations et les clés API.

•  Exploitation technique  

• • Les attaquants envoyaient des requêtes SQL malveillantes qui contournaient les protections d’accès et révélaient les informations internes.

•  Conséquences  

• • Compromission des données sensibles.

  • Risque accru d’attaques par rebond.

  • Dégradation de la confiance des utilisateurs envers l’infrastructure.

 Windows : CVE-2024-29988   

• Score CVSS : 8.8

•  Détail 

  • Une mauvaise implémentation de la fonction Mark of the Web permettait aux attaquants de déjouer les systèmes de détection des fichiers malveillants et les invites de sécurité SmartScreen de Microsoft.

• Exploitation technique

  • Les fichiers malveillants dissimulés dans des archives étaient exécutés sans avertissement, contournant les mécanismes de protection.

•  Conséquences  

• • Installation de logiciels malveillants.

  • Compromission du système d’exploitation.

  • Risques accrus de propagation de ransomwares.

 Windows : CVE-2024-49039   

• Score CVSS : 8.8

•  Détail 

  • Une faille dans le planificateur de tâches permettait à un utilisateur local d’élever ses privilèges et d’exécuter du code avec des droits administratifs.

• Exploitation technique

  • Un utilisateur malveillant local pouvait manipuler des fichiers de tâches pour obtenir des privilèges élevés.

•  Conséquences  

• • Prise de contrôle des paramètres systèmes.

  • Compromission de la sécurité globale de l’environnement.

 Windows MSHTML : CVE-2024-30040   

• Score CVSS : 8.8

•  Détail 

  • Une validation insuffisante des entrées dans la plateforme MSHTML permettait de contourner les mécanismes de sécurité de Microsoft 365 et Office.

• Exploitation technique

  • Les attaquants incitaient les victimes à ouvrir des fichiers malveillants qui exécutaient du code non autorisé.

•  Conséquences  

• • Exécution de code arbitraire.

  • Accès non autorisé aux données sensibles.

  • Risques accrus de compromission des systèmes.

 Google Chromium V8 Engine : CVE-2024-5274   

• Score CVSS :  8.8

•  Détail 

  • Une erreur de gestion des types dans le moteur V8 permettait aux attaquants d’exécuter du code arbitraire et d’accéder à des données non autorisées.

• Exploitation technique

  • En exploitant une méthode incorrecte de gestion des types, les attaquants contournaient les protections de sécurité du navigateur.

•  Conséquences  

• • Fuite de données sensibles.

  • Élévation de privilèges.

  • Risques accrus d’attaques par déni de service.

 NET et Visual Studio : CVE-2024-35264   

• Score CVSS :  8.1

•  Détail 

  • Une condition de type « use-after-free » permettait une exploitation à distance sans intervention de l’utilisateur.

• Exploitation technique

  • Un attaquant pouvait provoquer une erreur de libération de mémoire pour exécuter du code arbitraire.

•  Conséquences  

• • Compromission de la confidentialité.

  • Déstabilisation des systèmes.

  • Altération de l’intégrité et disponibilité des données.

 Protégez votre organisation face aux vulnérabilités zero-day   

Dans un paysage de menaces en constante évolution, il est essentiel de sécuriser vos systèmes. Voici trois outils de ManageEngine pour gérer et atténuer ces risques :

• Endpoint Central : pour une gestion proactive des terminaux

• Patch Manager Plus : pour garantir un déploiement rapide des correctifs.

• Vulnerability Manager Plus : pour identifier et combler les failles en temps réel.