Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Cette semaine, plusieurs vulnérabilités critiques ont été identifiées dans des dispositifs et logiciels largement utilisés, posant des risques significatifs pour la sécurité des systèmes d’information.
Des chercheurs de l’École polytechnique fédérale de Lausanne (EPFL) ont par ainsi mis en évidence des failles de sécurité dans plusieurs modèles d’intelligence artificielle (IA). Ils ont réussi à contourner les protections existantes, amenant ces systèmes à générer des contenus dangereux ou éthiquement douteux, tels que des instructions pour des attaques de phishing ou des plans de fabrication d’armes. Ces découvertes soulignent la nécessité de renforcer les mesures de sécurité dans le développement des modèles d’IA, surtout à l’heure où leur utilisation en tant qu’agents autonomes se généralise.
Une application populaire de streaming de caméras de sécurité, Home V de Virtavo, a été découverte collectant et exposant des données sensibles de ses utilisateurs. Des chercheurs ont trouvé un serveur de données non sécurisé contenant des informations personnelles, notamment des numéros de téléphone, des adresses IP et des identifiants de dispositifs, mettant potentiellement en danger des centaines de milliers d’utilisateurs. Le serveur a été fermé après notification, mais l’étendue de l’accès par des acteurs malveillants reste inconnue.
Par ailleurs, une vulnérabilité critique a été identifiée dans l’application indienne McDelivery, l’une des principales applications de livraison de nourriture. Cette faille permettait aux utilisateurs d’effectuer des commandes pour seulement 0,01 USD.
Synology, de son côté, a corrigé des failles critiques dans ses produits NAS, notamment dans les applications Photos pour DMS et BeePhotos pour BeeStation. Ces vulnérabilités permettaient l’exécution de code à distance sans interaction de l’utilisateur, exposant les appareils à des compromissions potentielles. Les correctifs ont été déployés suite à leur identification lors de l’événement Pwn2Own Ireland 2024, où des chercheurs ont démontré ces exploits.
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité critique affectant le logiciel BeyondTrust à son catalogue de vulnérabilités exploitées. Cette faille, déjà utilisée par des attaquants, souligne l’importance de maintenir les systèmes à jour et de surveiller les alertes de sécurité pour prévenir les compromissions.
Sophos a divulgué une vulnérabilité critique dans son produit Sophos Firewall, permettant une exécution de code à distance. Les versions antérieures à 21.0 GA (21.0.0) sont concernées. Des correctifs ont été déployés pour remédier à cette faille, et il est recommandé aux utilisateurs de mettre à jour leurs dispositifs pour se protéger contre des attaques potentielles.
Des chercheurs ont découvert des vulnérabilités dans l’intégration d’Apache Airflow au sein d’Azure Data Factory de Microsoft. Ces failles pourraient permettre à des attaquants de prendre le contrôle administratif de l’infrastructure cloud d’une entreprise, exposant ainsi des données sensibles et facilitant le déploiement de logiciels malveillants. Microsoft a été informé et des mesures correctives sont en cours.
Une nouvelle vulnérabilité, identifiée sous le code CVE-2024-53677, a été découverte dans le framework Apache Struts 2. Cette faille permet une exécution de code à distance et est déjà activement exploitée. Les organisations utilisant des versions affectées de Struts 2 sont encouragées à appliquer les correctifs disponibles et à vérifier l’intégrité de leurs systèmes pour détecter toute compromission.
Fortinet a corrigé une vulnérabilité critique dans son Wireless LAN Manager (FortiWLM), identifiée comme CVE-2023-34990. Cette faille permettait une divulgation non authentifiée d’informations sensibles et, lorsqu’elle était combinée avec une autre vulnérabilité, pouvait conduire à une exécution de code à distance. Les utilisateurs sont invités à mettre à jour vers les versions corrigées pour assurer la sécurité de leurs systèmes.
Les vulnérabilités de la semaine
Contenus dangereux : L’EPFL découvre des vulnérabilités de sécurité dans plusieurs modèles d’IA
Des chercheurs de l’EPFL ont identifié des vulnérabilités majeures dans les modèles d’intelligence artificielle. Ils ont réussi à contourner les mécanismes de sécurité et à produire des contenus malveillants, mettant en péril la sécurité des assistants IA autonomes.

Vulnérabilité de l’application de livraison McDonald’s permettant à n’importe qui de passer une commande pour seulement 0,01 $.
Une vulnérabilité critique a été découverte dans l’application de livraison de repas McDelivery de McDonald’s, l’une des principales applications de livraison de nourriture en Inde, permettant des commandes illimitées pour seulement 0,01 $. Les failles ont été identifiées par un chercheur qui a mené une enquête détaillée sur l’application, avec succès…

Vulnérabilité RCE dans 1 000 000 de sites WordPress permet aux attaquants de prendre le contrôle de l’arrière-plan.
Une vulnérabilité critique d’exécution de code à distance (RCE) (CVE-2024-6386), affectant plus de 1 000 000 d’installations actives du plugin WordPress Multilingual Plugin (WPML). Cette faille, découlant d’une vulnérabilité d’injection de modèle côté serveur (SSTI) dans le moteur de template Twig, a permis aux attaquants de…

Synology corrige des vulnérabilités critiques, encourage les utilisateurs à mettre à jour leurs appareils contre les attaques zero-click.
Synology a récemment corrigé une faille de sécurité critique dans ses produits de stockage NAS qui aurait pu permettre aux pirates informatiques…

Vulnérabilité critique Zero-Day PHP dans Craft CMS permet aux hackers de gagner un accès à distance
Une vulnérabilité de sécurité significative dans Craft CMS, l’un des systèmes de gestion de contenu basés sur PHP les plus largement utilisés, a été découverte, permettant l’exécution de code à distance non authentifiée (RCE) sous les configurations par défaut.

Cette application de diffusion en continu de caméras de sécurité hautement sécurisée pourrait avoir mis des milliers d’utilisateurs en danger.
Virtavo, une entreprise vendant des caméras web et d’autres solutions de sécurité, a été découverte en train d’exposer les données des utilisateurs. Les chercheurs de Cybernews ont trouvé une grande base de données pleine de données personnelles identifiables non protégées. L’archive a depuis été fermée.

L’agence américaine CISA ajoute une faille de sécurité dans le logiciel BeyondTrust à son catalogue des vulnérabilités exploitées connues.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoute la faille d’injection de commandes BeyondTrust Privileged Remote Access (PRA) et Remote Support (RS) à son catalogue de vulnérabilités exploitées connues.

Sophos révèle une faille critique d’exécution de code à distance dans son pare-feu.
Sophos a corrigé trois vulnérabilités dans son produit Sophos Firewall qui pourraient permettre à des acteurs de menace distants non authentifiés d’effectuer une injection SQL, une exécution de code à distance et d’obtenir un accès SSH privilégié aux appareils. […]

Des bugs dans Azure Data Factory ont exposé l’infrastructure cloud
Trois vulnérabilités dans l’intégration d’Apache Airflow du service auraient pu permettre à des attaquants de prendre le contrôle administratif occulte d’une infrastructure cloud d’entreprise, d’accéder et d’exfiltrer des données, et de déployer des logiciels malveillants.

Les organisations se précipitent pour corriger une faille activement exploitée dans Apache Struts 2.
Une nouvelle vulnérabilité découverte, CVE-2024-53677, dans le framework Apache vieillissant va causer de sérieux problèmes aux équipes IT, car le simple patch ne suffit pas pour la corriger.

Fortinet traite de la faille critique RCE non corrigée
Fortinet a corrigé la CVE-2023-34990 dans son gestionnaire de réseau local sans fil (FortiWLM), qui combinée avec la CVE-2023-48782 pourrait permettre une exécution de code à distance non authentifiée (RCE) et la capacité de lire tous les fichiers journaux.
