La faille critique de sécurité CVE-2023-25717 Ruckus Wireless Admin.
La CISA met en garde contre un bug critique de Ruckus utilisé pour infecter les points d’accès Wi-Fi.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde aujourd’hui contre une faille critique d’exécution de code à distance (RCE) dans le panneau d’administration sans fil de Ruckus activement exploitée par un botnet DDoS récemment découvert. Bien que ce bogue de sécurité ( CVE-2023-25717 ) ait été résolu début février, de nombreux propriétaires n’ont probablement pas encore corrigé leurs points d’accès Wi-Fi. De plus, aucun correctif n’est disponible pour ceux qui possèdent des modèles en fin de vie touchés par ce problème. (Sources)
En mai 2023, la Cybersecurity and Infrastructure Security Agency (CISA) a émis une mise en garde concernant l’exploitation active de cette faille critique de sécurité. Cette mise en garde souligne l’importance de mettre à jour les appareils affectés dès que possible pour se prémunir contre les attaques potentielles.
Le bogue de sécurité permet l’exécution de code à distance via une requête HTTP GET non authentifiée. Microsoft a reconnu une exploitation dans des attaques du bogue du pilote Win32k Kernel sans toutefois fournir d’information complémentaire.
Si vous êtes responsable de la sécurité d’un réseau utilisant Ruckus Wireless Admin, je vous recommande vivement de prendre les mesures suivantes :
Vérifiez si vous utilisez la version 10.4 ou antérieure de Ruckus Wireless Admin. Si tel est le cas, assurez-vous de mettre à jour immédiatement vers la dernière version disponible.
Appliquez toutes les mises à jour de sécurité recommandées par le fournisseur pour les appareils de points d’accès Wi-Fi Ruckus Wireless Admin.
Assurez-vous de suivre les meilleures pratiques en matière de sécurité, telles que l’utilisation de mots de passe forts, l’activation de la sécurité réseau appropriée, la surveillance régulière des journaux d’événements et la sensibilisation des utilisateurs sur les menaces potentielles.
Surveillez les annonces et les publications de sécurité de Ruckus Networks pour rester informé des dernières mises à jour et correctifs.
Il est important de prendre les mesures nécessaires pour protéger vos systèmes et votre réseau contre les vulnérabilités connues. Si vous avez des préoccupations spécifiques ou avez besoin d’informations supplémentaires, il est recommandé de contacter le support technique de Ruckus Networks ou un professionnel de la sécurité informatique pour obtenir une assistance spécialisée.
La Cybersecurity and Infrastructure Security Agency (CISA) est une agence fédérale américaine sous la supervision du département de la Sécurité intérieure des États-Unis, créée le 16 novembre 2018 à la suite de la promulgation du Cybersecurity and Infrastructure Security Agency Act (en) de 2018. Son objectif est d'améliorer le niveau de sécurité informatique à tous les niveaux du gouvernement. En cybersécurité, la mission du CISA est de diriger les efforts visant à protéger le domaine fédéral des réseaux du gouvernement civil. Elle vise aussi à collaborer avec le secteur privé pour accroître la sécurité des réseaux critiques. La CISA dirige l'effort national pour comprendre, gérer et réduire les risques pour l'infrastructure cyber et physique sur laquelle les Américains comptent à chaque heure de chaque jour. Sa mission s'étend à trois domaines principaux : la cybersécurité, la sécurité des infrastructures et les communications d'urgence.
Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif.
Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Ce mode d'attaque est largement utilisé par les pirates via des failles de sécurité "Zero Day" ou l'absence de mise à jour automatiques.
Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches. Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares.