Histoire en vedette
Alerte aux correctifs : une faille critique dans Apache Struts a été découverte et des tentatives d’exploitation ont été détectées.
Des acteurs malveillants tentent d’exploiter une faille de sécurité récemment divulguée dans Apache Struts qui pourrait conduire à l’exécution de code à distance. Le problème (CVE-2024-53677, CVSS 9.5) affecte les versions 2.0.0 à 2.3.37 (fin de vie), 2.5.0 à 2.5.33, et 6.0.0 à 6.3.0.2 de Struts. Un correctif est disponible dans la version 6.4.0.
Cette faille est similaire à la CVE-2023-50164, qui a été exploitée peu de temps après sa divulgation. Elle implique la manipulation des paramètres de téléchargement de fichiers afin d’obtenir une traversée de chemin et, sous certaines conditions, de télécharger un fichier malveillant qui pourrait être exécuté.
Les organisations utilisant Apache Struts doivent passer à la version 6.4.0 ou ultérieure et revoir toute la logique applicative qui gère les téléchargements de fichiers. Un simple correctif peut ne pas suffire – il est essentiel de remanier le code pour l’aligner sur le nouveau mécanisme de téléchargement afin d’atténuer les risques futurs.
Autres histoires
AVERTISSEMENT : Vulnérabilité critique dans les produits Cleo, Harmony, VLTrader et LexiCom
Le groupe de ransomware Cl0p a exploité des vulnérabilités dans les produits Cleo, notamment CVE-2024-50623 et CVE-2024-55956. Cette dernière permet à des attaquants non authentifiés d’exécuter des commandes Bash ou PowerShell en exploitant les paramètres par défaut du répertoire Autorun dans les versions antérieures à 5.8.0.24.
CISA a ajouté cette vulnérabilité à son catalogue de vulnérabilités connues et exploitées. Les clients utilisant les solutions Cleo concernées doivent immédiatement passer à la version 5.8.0.24 afin de réduire le risque d’attaques par ransomware.
BeyondTrust corrige une vulnérabilité critique découverte lors d’une enquête sur un incident de sécurité
BeyondTrust a corrigé CVE-2024-12356 (CVSS 9.8), une faille d’exécution de commande à distance dans ses produits Privileged Remote Access (PRA) et Remote Support (RS). Cette faille a été découverte lors d’une enquête sur des accès non autorisés dans des instances cloud de clients.
Les clients doivent mettre à jour les produits PRA et RS immédiatement. Les utilisateurs dans le nuage bénéficient déjà d’un correctif, mais les utilisateurs sur site doivent l’appliquer manuellement. Les versions antérieures à 22.1 nécessitent d’abord une mise à jour complète.
Courriels frauduleux ciblant les entreprises au nom d’Atradius
Des entreprises ont signalé des courriels d’hameçonnage usurpant l’identité d’Atradius et réclamant à tort le paiement de taxes sur l’environnement et l’assainissement. Ces courriels sont frauduleux et sont souvent envoyés par un faux huissier en guise de « rappel ».
En cas de doute, contactez toujours l’expéditeur supposé via les canaux officiels. Les courriels suspects peuvent être transmis à suspicious@safeonweb.be. Comme toujours, notre équipe SOC est à votre disposition pour vous aider à examiner les communications suspectes de phishing.
Contactez l’équipe SOC de Approach Cyber pour un soutien et des programmes de formation sur mesure.
