Rapid CVE Mitigation par Cato Security Research

L’OWASP définit les correctifs virtuels comme « une couche d’application de la politique de sécurité qui empêche l’exploitation d’une vulnérabilité connue ». Cato applique des correctifs virtuels via la couche IPS du Cato Single Pass Cloud Engine (SPACE). Les experts de Cato mettent en place de nouvelles règles IPS pour s’adapter rapidement aux nouvelles CVE (vulnérabilités et expositions courantes) sans que le client ait besoin d’intervenir.

Quelques CVE graves atténuées par Cato

Name

Injection SQL dans MOVEit Transfer

CVE

CVE-2023-34362

Severity Score

10 (Critical)

Detect to Protect

3 jours et 6 heures

Description

Une injection SQL dans la solution de transfert géré de fichiers (MFT) MOVEit Transfer d’InProgress permet aux pirates d’exécuter des commandes SQL et peut conduire à l’installation d’une porte dérobée dédiée permettant d’exécuter du code à distance (RCE).

Detection

6 juin 2023 à 8h00

Opt-in Protection

8 juin 2023 à 16h30

Global Protection

9 juin 2023 à 14h00

Name

Vulnérabilité de récupération du hash à distance dans Microsoft Outlook

CVE

CVE-2023-23397

Severity Score

9.8 (Critical)

Detect to Protect

0*

Description

Vulnérabilité d’élévation des privilèges dans Microsoft Outlook * Au temps zéro : Le trafic SMB sortant est bloqué par défaut par le pare-feu de Cato.

Detection

3 mars 2023 à 8h02

Opt-in Protection

3 mars 2023 à 8h02

Global Protection

3 mars 2023 à 8h02

Name

OWASSRF, exécution de code à distance (RCE) dans MS Exchange

CVE

CVE-2022-41082

Severity Score

8.8 (High)

Detect to Protect

23 heures, 45 minutes

Description

Dans le cadre de la chaîne d’exploits ProxyNotShell, certaines versions de MS Exchange sont vulnérables à l’exécution de code à distance.

Detection

21 décembre 2022 à 17h00

Opt-in Protection

21 décembre 2022 à 23h29

Global Protection

21 décembre 2022 à 16h45

Name

Microsoft Exchange – Exécution de code à distance

CVE

CVE-2022-41040, CVE-2022-41082

Severity Score

8.8 (High)

Detect to Protect

2 jours, 10 heures, 6 minutes

Description

Vulnérabilité d’élévation des privilèges dans Microsoft Exchange Server

Detection

30 septembre 2022 à 13h19

Opt-in Protection

30 septembre 2022 à 11h25

Global Protection

2 octobre 2022 à 11h25

Name

DogWalk – Exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows

CVE

CVE-2022-34713

Severity Score

7.8 (High)

Detect to Protect

2 jours, 4 heures, 54 minutes

Description

DogWalk – Vulnérabilité d’exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows (MSDT)

Detection

10 août 2022 à 11h22

Opt-in Protection

10 août 2022 à 18h38

Global Protection

10 août 2022 à 16h16

Name

Exécution de code à distance dans Apache Spark

CVE

CVE-2022-33891

Severity Score

8.8 (High)

Detect to Protect

1 jours, 7 heures, 17 minutes

Description

L’interface utilisateur d’Apache Spark offre la possibilité d’activer des listes de contrôle d’accès via le paramètre de configuration spark.acls.enable. Cela permet de vérifier, à l’aide d’un filtre d’authentification, si l’utilisateur dispose des droits d’accès nécessaires pour visualiser ou modifier l’application. Si les listes de contrôle d’accès sont activées, un chemin d’exécution dans HttpSecurityFilter peut permettre à un utilisateur de se faire passer pour un autre en indiquant un nom d’utilisateur arbitraire. Un utilisateur mal intentionné peut alors accéder à une commande de vérification des autorisations qui crée une commande shell Unix utilisant ses informations et l’exécute. Cela se traduit par l’exécution d’une commande shell arbitraire sous l’identité de l’utilisateur actuellement sélectionné dans Spark

Detection

19 juin 2022 à 10h06

Opt-in Protection

19 juin 2022 à 19h25

Global Protection

20 juin 2022 à 17h23

Name

Exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows

CVE

CVE-2022-30190

Severity Score

7.8 (High)

Detect to Protect

1 jours, 8 heures, 17 minutes

Description

Vulnérabilité d’exécution de code à distance de l’outil de diagnostic du service d’assistance de Microsoft Windows (MSDT).

Detection

31 mai 2022 à 8h43

Opt-in Protection

31 mai 2022 à 22h06

Global Protection

1er juin 2022 à 17h00

Name

Exécution de code à distance via la fonction Spring Cloud de VMware Tanzu

CVE

CVE-2022-22963

Severity Score

9.8 (Critical)

Detect to Protect

2 jours, 1 heure, 54 minutes

Description

Dans les versions 3.1.6, 3.2.2 et les versions antérieures non prises en charge de la fonction Spring Cloud, il est possible, lors de l’utilisation de la fonctionnalité de routage, qu’un utilisateur fournisse un SpEL spécialement configuré comme une expression de routage, ce qui peut permettre d’exécuter du code à distance et d’accéder à des ressources locales

Detection

30 mars 2022 à 18h00

Opt-in Protection

30 mars 2022 à 23h09

Global Protection

1er avril 2022 à 19h54

Name

Log4shell

CVE

CVE-2021-44228

Severity Score

10.0 (Critical)

Detect to Protect

17 heures, 2 minutes

Description

Apache Log4j2 2.0-beta9 à 2.15.0 (à l’exception des versions de sécurité 2.12.2, 2.12.3 et 2.3.1) Les fonctions JNDI utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre les terminaux LDAP et autres terminaux JNDI contrôlés par des pirates. Un pirate ayant le contrôle des messages de journal ou des paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de la recherche de messages est activée.

Detection

10 décembre 2021 à 20h45

Opt-in Protection

11 décembre 2021 à 15h16

Global Protection

11 décembre 2021 à 13h47

Name

Traversée de répertoire dans le serveur HTTP Apache

CVE

CVE-2021-41773

Severity Score

7.5 (High)

Detect to Protect

1 jours, 16 heures, 46 minutes

Description

Une faille a été découverte dans une modification apportée à la normalisation des chemins d’accès dans le serveur HTTP Apache 2.4.49. Un pirate pourrait utiliser une attaque par traversée de répertoire pour associer des URL à des fichiers situés en dehors des répertoires configurés par des directive d’alias. Si les fichiers situés en dehors de ces répertoires ne sont pas protégés par la configuration habituelle par défaut « refuser tout le monde », ces requêtes peuvent aboutir. Si les scripts CGI sont également activés pour ces chemins d’accès avec alias, cela pourrait permettre l’exécution de code à distance.

Detection

6 octobre 2021 à 7h19

Opt-in Protection

7 octobre 2021 à 14h01

Global Protection

8 octobre 2021 à 12h05

Name

Mot de passe Exchange Autodiscover

CVE

Severity Score

(Critical)

Detect to Protect

5 jours, 5 heures, 30 minutes

Description

Detection

30 septembre 2021 à 14h33

Opt-in Protection

30 septembre 2021 à 17h40

Global Protection

5 octobre 2021 à 20h03

Name

RCE VMware vCenter (II)

CVE

CVE-2021-22005

Severity Score

9.8 (Critical)

Detect to Protect

3 jours, 10 heures, 1 minutes

Description

Le service Analytics du serveur vCenter présente une vulnérabilité liée au téléchargement de fichiers arbitraires. Un pirate disposant d’un accès réseau via le port 443 du serveur vCenter peut en profiter pour exécuter du code sur le serveur vCenter en y téléchargeant un fichier spécifiquement conçu à cet effet

Detection

23 septembre 2021 à 8h36

Opt-in Protection

23 septembre 2021 à 18h23

Global Protection

26 septembre 2021 à 18h37

Name

Vulnérabilité RCE de Spooler PrintNightmare

CVE

CVE-2021-1675

Severity Score

8.8 (High)

Detect to Protect

6 jours, 6 heures, 28 minutes

Description

Vulnérabilité d’élévation des privilèges dans Windows Print Spooler

Detection

5 juillet 2021 à 12h16

Opt-in Protection

11 juillet 2021 à 10h52

Global Protection

11 juillet 2021 à 18h44

Name

Exécution de code à distance dans Sphere Client (HTML5)

CVE

CVE-2021-21985

Severity Score

9.8 (Critical)

Detect to Protect

3 jours, 11 heures, 29 minutes

Description

vSphere Client (HTML5) présente une vulnérabilité d’exécution de code à distance due à l’absence de validation des entrées dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server. Un pirate disposant d’un accès réseau via le port 443 peut en profiter pour exécuter des commandes sans restriction de privilèges sur le système d’exploitation hébergeant vCenter Server

Detection

31 mai 2021 à 22h55

Opt-in Protection

1er juin 2021 à 9h47

Global Protection

3 juin 2021 à 10h24

Name

Vulnérabilité dans F5

CVE

CVE-2021-22986

Severity Score

9.8 (Critical)

Detect to Protect

2 jours, 19 heures, 38 minutes

Description

Dans certaines versions de BIG-IP et BIG-IQ , l’interface REST iControl présente une vulnérabilité d’exécution de commande à distance sans autorisation

Detection

30 mars 2021 à 11h43

Opt-in Protection

23 septembre 2021 à 12h12

Global Protection

23 septembre 2021 à 19h21

Name

Faille SSRF dans MS Exchange

CVE

CVE-2021-26855

Severity Score

9.8 (Critical)

Detect to Protect

4 jours, 2 heures, 23 minutes

Description

Vulnérabilité d’exécution de code à distance du serveur Microsoft Exchange

Detection

3 mars 2021 à 11h03

Opt-in Protection

4 mars 2021 à 10h48

Global Protection

7 mars 2021 à 13h26

Name

VMWare VCenter RCE

CVE

CVE-2021-21972

Severity Score

9.8 (Critical)

Detect to Protect

1 day, 1 hour, 57 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.

Detection

February 25, 2021 at 10:06 AM

Opt-in Protection

February 25, 2021 at 7:16 PM

Global Protection

February 26, 2021 at 12:03 PM

Name

Injection SQL dans MOVEit Transfer

CVE

CVE-2023-34362

Severity Score

10

Detect to Protect

3 jours et 6 heures

Description

Une injection SQL dans la solution de transfert géré de fichiers (MFT) MOVEit Transfer d’InProgress permet aux pirates d’exécuter des commandes SQL et peut conduire à l’installation d’une porte dérobée dédiée permettant d’exécuter du code à distance (RCE).

Detection

6 juin 2023 à 8h00

Opt-in Protection

8 juin 2023 à 16h30

Global Protection

9 juin 2023 à 14h00

Name

Vulnérabilité de récupération du hash à distance dans Microsoft Outlook

CVE

CVE-2023-23397

Severity Score

9.8

Detect to Protect

0*

Description

Vulnérabilité d’élévation des privilèges dans Microsoft Outlook * Au temps zéro : Le trafic SMB sortant est bloqué par défaut par le pare-feu de Cato.

Detection

3 mars 2023 à 8h02

Opt-in Protection

3 mars 2023 à 8h02

Global Protection

3 mars 2023 à 8h02

Name

OWASSRF, exécution de code à distance (RCE) dans MS Exchange

CVE

CVE-2022-41082

Severity Score

8.8

Detect to Protect

23 heures, 45 minutes

Description

Dans le cadre de la chaîne d’exploits ProxyNotShell, certaines versions de MS Exchange sont vulnérables à l’exécution de code à distance.

Detection

21 décembre 2022 à 17h00

Opt-in Protection

21 décembre 2022 à 23h29

Global Protection

21 décembre 2022 à 16h45

Name

Microsoft Exchange – Exécution de code à distance

CVE

CVE-2022-41040, CVE-2022-41082

Severity Score

8.8

Detect to Protect

2 jours, 10 heures, 6 minutes

Description

Vulnérabilité d’élévation des privilèges dans Microsoft Exchange Server

Detection

30 septembre 2022 à 13h19

Opt-in Protection

30 septembre 2022 à 11h25

Global Protection

2 octobre 2022 à 11h25

Name

DogWalk – Exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows

CVE

CVE-2022-34713

Severity Score

7.8

Detect to Protect

2 jours, 4 heures, 54 minutes

Description

DogWalk – Vulnérabilité d’exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows (MSDT)

Detection

10 août 2022 à 11h22

Opt-in Protection

10 août 2022 à 18h38

Global Protection

10 août 2022 à 16h16

Name

Exécution de code à distance dans Apache Spark

CVE

CVE-2022-33891

Severity Score

8.8

Detect to Protect

1 jours, 7 heures, 17 minutes

Description

L’interface utilisateur d’Apache Spark offre la possibilité d’activer des listes de contrôle d’accès via le paramètre de configuration spark.acls.enable. Cela permet de vérifier, à l’aide d’un filtre d’authentification, si l’utilisateur dispose des droits d’accès nécessaires pour visualiser ou modifier l’application. Si les listes de contrôle d’accès sont activées, un chemin d’exécution dans HttpSecurityFilter peut permettre à un utilisateur de se faire passer pour un autre en indiquant un nom d’utilisateur arbitraire. Un utilisateur mal intentionné peut alors accéder à une commande de vérification des autorisations qui crée une commande shell Unix utilisant ses informations et l’exécute. Cela se traduit par l’exécution d’une commande shell arbitraire sous l’identité de l’utilisateur actuellement sélectionné dans Spark

Detection

19 juin 2022 à 10h06

Opt-in Protection

19 juin 2022 à 19h25

Global Protection

20 juin 2022 à 17h23

Name

Exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows

CVE

CVE-2022-30190

Severity Score

7.8

Detect to Protect

1 jours, 8 heures, 17 minutes

Description

Vulnérabilité d’exécution de code à distance de l’outil de diagnostic du service d’assistance de Microsoft Windows (MSDT).

Detection

31 mai 2022 à 8h43

Opt-in Protection

31 mai 2022 à 22h06

Global Protection

1er juin 2022 à 17h00

Name

Exécution de code à distance via la fonction Spring Cloud de VMware Tanzu

CVE

CVE-2022-22963

Severity Score

9.8

Detect to Protect

2 jours, 1 heure, 54 minutes

Description

Dans les versions 3.1.6, 3.2.2 et les versions antérieures non prises en charge de la fonction Spring Cloud, il est possible, lors de l’utilisation de la fonctionnalité de routage, qu’un utilisateur fournisse un SpEL spécialement configuré comme une expression de routage, ce qui peut permettre d’exécuter du code à distance et d’accéder à des ressources locales

Detection

30 mars 2022 à 18h00

Opt-in Protection

30 mars 2022 à 23h09

Global Protection

1er avril 2022 à 19h54

Name

Log4shell

CVE

CVE-2021-44228

Severity Score

10.0

Detect to Protect

17 heures, 2 minutes

Description

Apache Log4j2 2.0-beta9 à 2.15.0 (à l’exception des versions de sécurité 2.12.2, 2.12.3 et 2.3.1) Les fonctions JNDI utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre les terminaux LDAP et autres terminaux JNDI contrôlés par des pirates. Un pirate ayant le contrôle des messages de journal ou des paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de la recherche de messages est activée.

Detection

10 décembre 2021 à 20h45

Opt-in Protection

11 décembre 2021 à 15h16

Global Protection

11 décembre 2021 à 13h47

Name

Traversée de répertoire dans le serveur HTTP Apache

CVE

CVE-2021-41773

Severity Score

7.5

Detect to Protect

1 jours, 16 heures, 46 minutes

Description

Une faille a été découverte dans une modification apportée à la normalisation des chemins d’accès dans le serveur HTTP Apache 2.4.49. Un pirate pourrait utiliser une attaque par traversée de répertoire pour associer des URL à des fichiers situés en dehors des répertoires configurés par des directive d’alias. Si les fichiers situés en dehors de ces répertoires ne sont pas protégés par la configuration habituelle par défaut « refuser tout le monde », ces requêtes peuvent aboutir. Si les scripts CGI sont également activés pour ces chemins d’accès avec alias, cela pourrait permettre l’exécution de code à distance.

Detection

6 octobre 2021 à 7h19

Opt-in Protection

7 octobre 2021 à 14h01

Global Protection

8 octobre 2021 à 12h05

Name

Mot de passe Exchange Autodiscover

CVE

Severity Score

Detect to Protect

5 jours, 5 heures, 30 minutes

Description

Detection

30 septembre 2021 à 14h33

Opt-in Protection

30 septembre 2021 à 17h40

Global Protection

5 octobre 2021 à 20h03

Name

RCE VMware vCenter (II)

CVE

CVE-2021-22005

Severity Score

9.8

Detect to Protect

3 jours, 10 heures, 1 minutes

Description

Le service Analytics du serveur vCenter présente une vulnérabilité liée au téléchargement de fichiers arbitraires. Un pirate disposant d’un accès réseau via le port 443 du serveur vCenter peut en profiter pour exécuter du code sur le serveur vCenter en y téléchargeant un fichier spécifiquement conçu à cet effet

Detection

23 septembre 2021 à 8h36

Opt-in Protection

23 septembre 2021 à 18h23

Global Protection

26 septembre 2021 à 18h37

Name

Vulnérabilité RCE de Spooler PrintNightmare

CVE

CVE-2021-1675

Severity Score

8.8

Detect to Protect

6 jours, 6 heures, 28 minutes

Description

Vulnérabilité d’élévation des privilèges dans Windows Print Spooler

Detection

5 juillet 2021 à 12h16

Opt-in Protection

11 juillet 2021 à 10h52

Global Protection

11 juillet 2021 à 18h44

Name

Exécution de code à distance dans Sphere Client (HTML5)

CVE

CVE-2021-21985

Severity Score

9.8

Detect to Protect

3 jours, 11 heures, 29 minutes

Description

vSphere Client (HTML5) présente une vulnérabilité d’exécution de code à distance due à l’absence de validation des entrées dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server. Un pirate disposant d’un accès réseau via le port 443 peut en profiter pour exécuter des commandes sans restriction de privilèges sur le système d’exploitation hébergeant vCenter Server

Detection

31 mai 2021 à 22h55

Opt-in Protection

1er juin 2021 à 9h47

Global Protection

3 juin 2021 à 10h24

Name

Vulnérabilité dans F5

CVE

CVE-2021-22986

Severity Score

9.8

Detect to Protect

2 jours, 19 heures, 38 minutes

Description

Dans certaines versions de BIG-IP et BIG-IQ , l’interface REST iControl présente une vulnérabilité d’exécution de commande à distance sans autorisation

Detection

30 mars 2021 à 11h43

Opt-in Protection

23 septembre 2021 à 12h12

Global Protection

23 septembre 2021 à 19h21

Name

Faille SSRF dans MS Exchange

CVE

CVE-2021-26855

Severity Score

9.8

Detect to Protect

4 jours, 2 heures, 23 minutes

Description

Vulnérabilité d’exécution de code à distance du serveur Microsoft Exchange

Detection

3 mars 2021 à 11h03

Opt-in Protection

4 mars 2021 à 10h48

Global Protection

7 mars 2021 à 13h26

Name

VMWare VCenter RCE

CVE

CVE-2021-21972

Severity Score

9.8

Detect to Protect

1 day, 1 hour, 57 minutes

Description

The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.

Detection

February 25, 2021 at 10:06 AM

Opt-in Protection

February 25, 2021 at 7:16 PM

Global Protection

February 26, 2021 at 12:03 PM

Pourquoi l’atténuation des CVE est-elle si difficile à mettre en œuvre ?

Les clients éprouvent souvent des difficultés à gérer les processus, les ressources et le temps nécessaires pour protéger leurs réseaux contre les nouvelles CVE. La raison est la suivante :

Le prestataire doit rechercher la CVE et développer une signature

Le client doit tester la signature dans une fenêtre de maintenance

Le client effectue des tests pour s’assurer que la signature n’interrompt pas le trafic et n’a pas d’impact sur le déroulement de l’inspection ou sur l’expérience utilisateur.

La signature ne peut être activée que si les tests sont concluants

Ce processus gourmand en ressources pousse de nombreux clients à faire passer leur système de protection contre les intrusions (IPS) en mode de détection ou leur fait prendre trop de retard pour maintenir leur dispositif de sécurité à un niveau optimal. Cela accroît le risque de faille car les pirates tentent de profiter des CVE non corrigées, notamment les plus anciennes.

Correction virtuelle entièrement automatisée des nouvelles vulnérabilités par Cato Networks

Le processus de correction virtuel de Cato est divisé en quatre étapes, gérées par son équipe de sécurité :

Évaluation

Évaluation de la gravité de la CVE et recherche de la vulnérabilité. Il s’agit plus précisément de détecter les attaques existantes exploitant cette CVE.

Comprendre quels systèmes sont touchés et comment les pirates mènent l’attaque

Développement

Création d’une nouvelle règle IPS pour corriger virtuellement la vulnérabilité

Élimination des faux positifs grâce à des tests rétrospectifs sur les métadonnées du trafic

Protection du consentement préalable

Déploiement sélectif du patch virtuel en « mode simulation »

Activation de la protection du consentement préalable pour certains clients

Protection globale

Passage du correctif virtuel en mode prévention mode prévention

Application du correctif virtuel à tous les clients et à tout le trafic

Cette opération se déroule sans solliciter les ressources du client et n’a pas d’incidence sur ses activités.

Request a Demo