Les failles critiques de Mitel et d’Oracle sont activement exploitées, la CISA recommande l’application de correctifs

Lucas Morel

CISA a ajouté les failles à son catalogue de vulnérabilités connues, recommandant une correction rapide conformément à la directive opérationnelle contraignante (BOD) 22-01.

Les attaquants exploitent activement les failles de Mitel MiCollab pour obtenir un accès non autorisé à des fichiers système sensibles, a averti l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA).

Mardi, l’agence a ajouté deux vulnérabilités de traversée de chemin dans la plate-forme de communication largement utilisée à son catalogue de vulnérabilités exploitées connues (KEV), citant des preuves d’exploitation.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et posent des risques importants pour l’entreprise fédérale », a déclaré la CISA dans un avis qui mentionnait également une faille critique d’Oracle, signalée pour la première fois en 2022, qui comporte probablement désormais des exploits de N jours.

Enchaîné pour un impact maximum

L’une des failles de Mitel, identifiée comme CVE-2024-41713, est une vulnérabilité critique (CVSS 9.8/10) de traversée de chemin dans le composant NuPoint Unified Messaging de Mitel MiCollab qui pourrait permettre à un attaquant non authentifié d’exploiter un manque de validation d’entrée suffisante pour obtenir un accès non autorisé et afficher, corrompre ou supprimer les données utilisateur et les configurations du système.

L’autre faille, identifiée comme CVE-2024-55550 et classée modérément grave (CVSS 4.4/10), est une autre vulnérabilité de traversée de chemin qui pourrait permettre à des attaquants authentifiés de lire des fichiers de niveau administrateur sur le système local en raison d’une vérification insuffisante des entrées. La faille ne permet cependant pas la modification de fichiers ni l’élévation des privilèges, avait déclaré Mitel dans une divulgation d’octobre 2024.

Bien que les détails techniques de l’exploitation n’aient pas été divulgués dans la mise à jour CISA, il est important de noter que ces vulnérabilités pourraient être enchaînées pour permettre à des attaquants distants de lire des fichiers système sensibles.

En octobre, Mitel a publié des correctifs pour les versions concernées ainsi que des versions corrigées vers lesquelles les utilisateurs peuvent effectuer une mise à niveau.

Une exploitation active indique une mauvaise correction des failles et nécessite une action immédiate de l’utilisateur. La CISA a recommandé aux agences du pouvoir exécutif civil fédéral (FCEB) de corriger les systèmes concernés conformément à la directive BOD 22-01, qui les oblige à corriger les failles dans les 15 jours si elles sont activement exploitées.

Les attaquants exploitent une faille critique d’Oracle

L’avis CISA a également mis en évidence une ancienne vulnérabilité Oracle, que la société a corrigée en octobre 2024 à la suite de rapports faisant état de « tentatives d’exploitation malveillante ».

Identifiée sous le nom de CVE-2020-2883, la faille affectait Oracle WebLogic Server, permettant à des attaquants non authentifiés ayant accès au réseau de s’emparer entièrement du serveur. La vulnérabilité a reçu un score de gravité CVSS 9,8/10.

La CISA a déclaré que le BOD 22-01 s’applique à la faille Oracle et que les organisations doivent réduire leur exposition aux cyberattaques en donnant la priorité à sa correction.