Rapid CVE Mitigation par Cato Security Research
L’OWASP définit les correctifs virtuels comme « une couche d’application de la politique de sécurité qui empêche l’exploitation d’une vulnérabilité connue ». Cato applique des correctifs virtuels via la couche IPS du Cato Single Pass Cloud Engine (SPACE). Les experts de Cato mettent en place de nouvelles règles IPS pour s’adapter rapidement aux nouvelles CVE (vulnérabilités et expositions courantes) sans que le client ait besoin d’intervenir.
Quelques CVE graves atténuées par Cato
Name
Injection SQL dans MOVEit Transfer
CVE
CVE-2023-34362
Severity Score
10 (Critical)
Detect to Protect
3 jours et 6 heures
Description
Une injection SQL dans la solution de transfert géré de fichiers (MFT) MOVEit Transfer d’InProgress permet aux pirates d’exécuter des commandes SQL et peut conduire à l’installation d’une porte dérobée dédiée permettant d’exécuter du code à distance (RCE).
Detection
6 juin 2023 à 8h00
Opt-in Protection
8 juin 2023 à 16h30
Global Protection
9 juin 2023 à 14h00
Name
Vulnérabilité de récupération du hash à distance dans Microsoft Outlook
CVE
CVE-2023-23397
Severity Score
9.8 (Critical)
Detect to Protect
0*
Description
Vulnérabilité d’élévation des privilèges dans Microsoft Outlook * Au temps zéro : Le trafic SMB sortant est bloqué par défaut par le pare-feu de Cato.
Detection
3 mars 2023 à 8h02
Opt-in Protection
3 mars 2023 à 8h02
Global Protection
3 mars 2023 à 8h02
Name
OWASSRF, exécution de code à distance (RCE) dans MS Exchange
CVE
CVE-2022-41082
Severity Score
8.8 (High)
Detect to Protect
23 heures, 45 minutes
Description
Dans le cadre de la chaîne d’exploits ProxyNotShell, certaines versions de MS Exchange sont vulnérables à l’exécution de code à distance.
Detection
21 décembre 2022 à 17h00
Opt-in Protection
21 décembre 2022 à 23h29
Global Protection
21 décembre 2022 à 16h45
Name
Microsoft Exchange – Exécution de code à distance
CVE
CVE-2022-41040, CVE-2022-41082
Severity Score
8.8 (High)
Detect to Protect
2 jours, 10 heures, 6 minutes
Description
Vulnérabilité d’élévation des privilèges dans Microsoft Exchange Server
Detection
30 septembre 2022 à 13h19
Opt-in Protection
30 septembre 2022 à 11h25
Global Protection
2 octobre 2022 à 11h25
Name
DogWalk – Exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows
CVE
CVE-2022-34713
Severity Score
7.8 (High)
Detect to Protect
2 jours, 4 heures, 54 minutes
Description
DogWalk – Vulnérabilité d’exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows (MSDT)
Detection
10 août 2022 à 11h22
Opt-in Protection
10 août 2022 à 18h38
Global Protection
10 août 2022 à 16h16
Name
Exécution de code à distance dans Apache Spark
CVE
CVE-2022-33891
Severity Score
8.8 (High)
Detect to Protect
1 jours, 7 heures, 17 minutes
Description
L’interface utilisateur d’Apache Spark offre la possibilité d’activer des listes de contrôle d’accès via le paramètre de configuration spark.acls.enable. Cela permet de vérifier, à l’aide d’un filtre d’authentification, si l’utilisateur dispose des droits d’accès nécessaires pour visualiser ou modifier l’application. Si les listes de contrôle d’accès sont activées, un chemin d’exécution dans HttpSecurityFilter peut permettre à un utilisateur de se faire passer pour un autre en indiquant un nom d’utilisateur arbitraire. Un utilisateur mal intentionné peut alors accéder à une commande de vérification des autorisations qui crée une commande shell Unix utilisant ses informations et l’exécute. Cela se traduit par l’exécution d’une commande shell arbitraire sous l’identité de l’utilisateur actuellement sélectionné dans Spark
Detection
19 juin 2022 à 10h06
Opt-in Protection
19 juin 2022 à 19h25
Global Protection
20 juin 2022 à 17h23
Name
Exécution de code à distance via l’outil de diagnostic du service d’assistance de Microsoft Windows
CVE
CVE-2022-30190
Severity Score
7.8 (High)
Detect to Protect
1 jours, 8 heures, 17 minutes
Description
Vulnérabilité d’exécution de code à distance de l’outil de diagnostic du service d’assistance de Microsoft Windows (MSDT).
Detection
31 mai 2022 à 8h43
Opt-in Protection
31 mai 2022 à 22h06
Global Protection
1er juin 2022 à 17h00
Name
Exécution de code à distance via la fonction Spring Cloud de VMware Tanzu
CVE
CVE-2022-22963
Severity Score
9.8 (Critical)
Detect to Protect
2 jours, 1 heure, 54 minutes
Description
Dans les versions 3.1.6, 3.2.2 et les versions antérieures non prises en charge de la fonction Spring Cloud, il est possible, lors de l’utilisation de la fonctionnalité de routage, qu’un utilisateur fournisse un SpEL spécialement configuré comme une expression de routage, ce qui peut permettre d’exécuter du code à distance et d’accéder à des ressources locales
Detection
30 mars 2022 à 18h00
Opt-in Protection
30 mars 2022 à 23h09
Global Protection
1er avril 2022 à 19h54
Name
Log4shell
CVE
CVE-2021-44228
Severity Score
10.0 (Critical)
Detect to Protect
17 heures, 2 minutes
Description
Apache Log4j2 2.0-beta9 à 2.15.0 (à l’exception des versions de sécurité 2.12.2, 2.12.3 et 2.3.1) Les fonctions JNDI utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre les terminaux LDAP et autres terminaux JNDI contrôlés par des pirates. Un pirate ayant le contrôle des messages de journal ou des paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de la recherche de messages est activée.
Detection
10 décembre 2021 à 20h45
Opt-in Protection
11 décembre 2021 à 15h16
Global Protection
11 décembre 2021 à 13h47
Name
Traversée de répertoire dans le serveur HTTP Apache
CVE
CVE-2021-41773
Severity Score
7.5 (High)
Detect to Protect
1 jours, 16 heures, 46 minutes
Description
Une faille a été découverte dans une modification apportée à la normalisation des chemins d’accès dans le serveur HTTP Apache 2.4.49. Un pirate pourrait utiliser une attaque par traversée de répertoire pour associer des URL à des fichiers situés en dehors des répertoires configurés par des directive d’alias. Si les fichiers situés en dehors de ces répertoires ne sont pas protégés par la configuration habituelle par défaut « refuser tout le monde », ces requêtes peuvent aboutir. Si les scripts CGI sont également activés pour ces chemins d’accès avec alias, cela pourrait permettre l’exécution de code à distance.
Detection
6 octobre 2021 à 7h19
Opt-in Protection
7 octobre 2021 à 14h01
Global Protection
8 octobre 2021 à 12h05
Name
Mot de passe Exchange Autodiscover
CVE
Severity Score
(Critical)
Detect to Protect
5 jours, 5 heures, 30 minutes
Name
RCE VMware vCenter (II)
CVE
CVE-2021-22005
Severity Score
9.8 (Critical)
Detect to Protect
3 jours, 10 heures, 1 minutes
Description
Le service Analytics du serveur vCenter présente une vulnérabilité liée au téléchargement de fichiers arbitraires. Un pirate disposant d’un accès réseau via le port 443 du serveur vCenter peut en profiter pour exécuter du code sur le serveur vCenter en y téléchargeant un fichier spécifiquement conçu à cet effet
Detection
23 septembre 2021 à 8h36
Opt-in Protection
23 septembre 2021 à 18h23
Global Protection
26 septembre 2021 à 18h37
Name
Vulnérabilité RCE de Spooler PrintNightmare
CVE
CVE-2021-1675
Severity Score
8.8 (High)
Detect to Protect
6 jours, 6 heures, 28 minutes
Description
Vulnérabilité d’élévation des privilèges dans Windows Print Spooler
Detection
5 juillet 2021 à 12h16
Opt-in Protection
11 juillet 2021 à 10h52
Global Protection
11 juillet 2021 à 18h44
Name
Exécution de code à distance dans Sphere Client (HTML5)
CVE
CVE-2021-21985
Severity Score
9.8 (Critical)
Detect to Protect
3 jours, 11 heures, 29 minutes
Description
vSphere Client (HTML5) présente une vulnérabilité d’exécution de code à distance due à l’absence de validation des entrées dans le plug-in Virtual SAN Health Check qui est activé par défaut dans vCenter Server. Un pirate disposant d’un accès réseau via le port 443 peut en profiter pour exécuter des commandes sans restriction de privilèges sur le système d’exploitation hébergeant vCenter Server
Detection
31 mai 2021 à 22h55
Opt-in Protection
1er juin 2021 à 9h47
Global Protection
3 juin 2021 à 10h24
Name
Vulnérabilité dans F5
CVE
CVE-2021-22986
Severity Score
9.8 (Critical)
Detect to Protect
2 jours, 19 heures, 38 minutes
Description
Dans certaines versions de BIG-IP et BIG-IQ , l’interface REST iControl présente une vulnérabilité d’exécution de commande à distance sans autorisation
Detection
30 mars 2021 à 11h43
Opt-in Protection
23 septembre 2021 à 12h12
Global Protection
23 septembre 2021 à 19h21
Name
Faille SSRF dans MS Exchange
CVE
CVE-2021-26855
Severity Score
9.8 (Critical)
Detect to Protect
4 jours, 2 heures, 23 minutes
Description
Vulnérabilité d’exécution de code à distance du serveur Microsoft Exchange
Detection
3 mars 2021 à 11h03
Opt-in Protection
4 mars 2021 à 10h48
Global Protection
7 mars 2021 à 13h26
Name
VMWare VCenter RCE
CVE
CVE-2021-21972
Severity Score
9.8 (Critical)
Detect to Protect
1 day, 1 hour, 57 minutes
Description
The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.
Detection
February 25, 2021 at 10:06 AM
Opt-in Protection
February 25, 2021 at 7:16 PM
Global Protection
February 26, 2021 at 12:03 PM
Pourquoi l’atténuation des CVE est-elle si difficile à mettre en œuvre ?
Les clients éprouvent souvent des difficultés à gérer les processus, les ressources et le temps nécessaires pour protéger leurs réseaux contre les nouvelles CVE. La raison est la suivante :
Le prestataire doit rechercher la CVE et développer une signature
Le client doit tester la signature dans une fenêtre de maintenance
Le client effectue des tests pour s’assurer que la signature n’interrompt pas le trafic et n’a pas d’impact sur le déroulement de l’inspection ou sur l’expérience utilisateur.
La signature ne peut être activée que si les tests sont concluants
Ce processus gourmand en ressources pousse de nombreux clients à faire passer leur système de protection contre les intrusions (IPS) en mode de détection ou leur fait prendre trop de retard pour maintenir leur dispositif de sécurité à un niveau optimal. Cela accroît le risque de faille car les pirates tentent de profiter des CVE non corrigées, notamment les plus anciennes.
Correction virtuelle entièrement automatisée des nouvelles vulnérabilités par Cato Networks
Le processus de correction virtuel de Cato est divisé en quatre étapes, gérées par son équipe de sécurité :
Évaluation
Évaluation de la gravité de la CVE et recherche de la vulnérabilité. Il s’agit plus précisément de détecter les attaques existantes exploitant cette CVE.
Comprendre quels systèmes sont touchés et comment les pirates mènent l’attaque
Développement
Création d’une nouvelle règle IPS pour corriger virtuellement la vulnérabilité
Élimination des faux positifs grâce à des tests rétrospectifs sur les métadonnées du trafic
Protection du consentement préalable
Déploiement sélectif du patch virtuel en « mode simulation »
Activation de la protection du consentement préalable pour certains clients
Protection globale
Passage du correctif virtuel en mode prévention mode prévention
Application du correctif virtuel à tous les clients et à tout le trafic
Cette opération se déroule sans solliciter les ressources du client et n’a pas d’incidence sur ses activités.