Il a fallu à Nakivo plus d’un mois pour reconnaître la vulnérabilité et le patcher «silencieusement».
L’Agence de sécurité de la cybersécurité et de l’infrastructure (CISA) a ajouté une vulnérabilité patch et à haute sévérité affectant le logiciel de sauvegarde et de réplication de Nakivo à son catalogue de vulnérabilité exploité (KEV) connu.
Le défaut, suivi comme CVE-2024-48248, est un problème de traversée de chemin qui a reçu une cote de gravité élevée avec CVSS 8.6 sur 10 et a été marqué «critique» par Nakivo dans un avis de sécurité.
« Cette vulnérabilité permet aux attaquants de lire des fichiers arbitraires sur le système affecté sans authentification », avait déclaré Nakivo dans l’avis. «L’exploitation de cette vulnérabilité pourrait exposer des données sensibles, y compris les fichiers de configuration, les sauvegardes et les informations d’identification, conduisant potentiellement à des violations de données ou à d’autres compromis de sécurité.»
Le fournisseur de solutions de sauvegarde a déployé une correction du problème avec la publication de Backup & Replication V11.0.0.88174.
Flaw probablement exploité comme les jours n-
La faille est probablement abusée dans l’exploitation des jours du N, car le conseil des vendeurs a mis à jour la dernière mise à jour le 6 mars ne l’a pas marqué comme activement exploité.
La vulnérabilité a été identifiée et amenée pour la première fois à Nakivo par la société de cybersécurité Watchtowr le 13 septembre 2024. Il a fallu à Nakivo plus d’un mois pour reconnaître la découverte de Watchtower par e-mail, et « silencieusement » la vulnérabilité le 4 novembre 2024, a déclaré Watchtowr dans un article de blog.
L’exploitation in-the-wild, telle que marquée par CISA, suit la divulgation publique de la vulnérabilité par Watchtower, ainsi qu’une preuve de concept (POC), en février 2024. Bien qu’il soit difficile de dire si les acteurs de la menace ont pris conscience des risks de Watchtowr pour les dispositions pour les dispositions.
« En tant qu’industrie, nous pensons que nous sommes arrivés à un consensus commun après 25 ans de débats circulaires – la divulgation est terrible, les informations sont en fait dangereuses, il est préférable qu’il ne soit pas partagé, et la seule façon de vous assurer que personne n’utilise jamais les informations d’une manière que vous n’aimez pas (cette partie est la clé) est de créer des termes pour votre façon de faire les choses », a dit Watchtowr dans le poste de blog.
Fait intéressant, un jour après l’alerte CISA, Watchtower a tiré les rideaux sur une autre vulnérabilité critique dans les serveurs de sauvegarde Veeam qui ont permis l’exécution du code distant.
Les CISO ont conseillé de faire pression pour des correctifs immédiats
La CISA a conseillé des correctifs fédéraux et civils immédiats de la faille. Pour les agences fédérales Civilian Executive Branch (FCEB), le chien de garde américain de cybersécurité a stipulé une date limite de correction du 19 avril 2025, conformément à la directive BOD 22-01.
« Appliquer des atténuations par instructions du fournisseur, suivre les conseils applicables de BOD 22-01 pour les services cloud ou interrompre l’utilisation du produit si les atténuations ne sont pas disponibles », a déclaré CISA dans la mise à jour KEV. Bien que le conseil de Nakivo ne mentionne pas les activités dans la volonté, les vendeurs ont clairement mis l’accent sur les administrateurs de mise à niveau vers la version sécurisée immédiatement. Outre le correctif, l’avis a recommandé de réviser les journaux d’accès et d’améliorer la sécurité du réseau grâce à la segmentation et à un pare-feu robuste comme étapes d’atténuation supplémentaires.
