Vulnérabilités Microsoft Exchange Server : CVE-2022-41040 et CVE-2022-41082
Les équipements et appliances virtuelles Barracuda Web Application Firewall, Barracuda CloudGen WAF sur AWS, Azure et GCP, Barracuda WAF-as-a-Service ainsi que Barracuda Load Balancer ADC ne sont pas affectés par les vulnérabilités zero-day récemment découvertes qui affectent Microsoft Exchange Server édition 2013, 2016 et 2019. La vulnérabilité identifiée comme CVE-2022-41040 est une falsification de requête côté serveur (SSRF), et celle identifiée comme CVE-2022-41082 est une vulnérabilité d'exécution de code à distance (RCE).
Veuillez revenir sur cette page pour vous tenir informé, car nous continuerons à partager d'autres mises à jour.
Description des vulnérabilités
Récemment, GTSC a découvert deux vulnérabilités zero-day et a partagé les détails avec l'initiative Zero Day (ZDI). Les bugs suivants ont été vérifiés et reconnus par ZDI :
- ZDI-CAN-18333 | Microsoft | CVSS: 8.8
- ZDI-CAN-18802 | Microsoft | CVSS: 6.3
ZDI a partagé les détails avec Microsoft et, sur la base de ses recherches, Microsoft a publié les identifiants CVE suivants concernant les vulnérabilités identifiées :
- CVE-2022-41040 | CVSS : 3.1 8.8 / 8.1 | Gravité pour le fournisseur : critique | SSRF
- CVE-2022-41082 | CVSS : 3.1 8.8 / 8.3 | Gravité pour le fournisseur : critique | RCE
Ces vulnérabilités ont été publiées le 29 septembre 2022 et concernent Microsoft Exchange Server 2013, 2016 et 2019. Les deux CVE nécessitent qu'un pirate accède au serveur Exchange vulnérable en tant qu'utilisateur authentifié.
L'attaque de type SSRF peut être menée à bien après avoir obtenu un accès en tant qu'utilisateur authentifié et obtenu un accès à PowerShell. Après cela, le pirate peut également exécuter l'attaque RCE comme décrit dans CVE-2022-41082.
Les solutions Barracuda Web Application Firewall, WAF-as-a-Service et LoadBalancer ADC ne sont pas concernées par cette vulnérabilité.
Détection et protection contre les attaques
Barracuda publiera bientôt les signatures pour atténuer les vulnérabilités après avoir fait preuve de diligence raisonnable dans l'évaluation du CVE.
En attendant, les clients peuvent contacter l'équipe de support technique de Barracuda pour obtenir la signature provisoire. Celle-ci est élaborée sur la base des données de recherche disponibles sur les menaces. Veuillez noter que nous continuerons à mettre à jour les signatures à mesure que les données de recherche sur les menaces évolueront.
Pour une configuration manuelle, nous vous recommandons de suivre l'avis publié dans les catégories de produits respectives de Barracuda Web Application Firewall, comme indiqué ci-dessous.
Barracuda WAF-as-a-Service
Nous recommandons aux clients de WAF-as-a-Service de consulter le document de Barracuda Campus pour configurer manuellement les étapes nécessaires pour atténuer les vulnérabilités. Les clients peuvent également suivre les mises à jour de WAF-as-a-Service pour les étapes de configuration.
Barracuda Web Application Firewall, Barracuda CloudGen WAF sur AWS, Azure et GCP.
Nous recommandons aux clients de Barracuda WAF et CloudGen WAF d'effectuer manuellement des modifications de configuration en suivant les étapes mentionnées dans les documents de Barracuda Campus pour atténuer ces vulnérabilités.
À titre de bonne pratique, nous recommandons aux clients d'envisager également les mesures d'atténuation et les recommandations provisoires de Microsoft pour protéger leur serveur Microsoft Exchange.
Pour en savoir plus sur les modifications de configuration et les paramètres requis pour cette atténuation, veuillez consulter ce document de Barracuda Campus.
Pour toute assistance concernant ces paramètres ou toute question concernant les modèles d'attaque, contactez le support technique de Barracuda.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
