Cette semaine, la Cybersecurity and Infrastructure Security Agency (CISA) a ajouté dix-sept vulnérabilités activement exploitées au « catalogue des vulnérabilités exploitées connues ».
Le « catalogue des vulnérabilités exploitées connues » est une liste de vulnérabilités qui ont été vues abusées par des acteurs de la menace lors d’attaques et qui doivent être corrigées par les agences du pouvoir exécutif civil fédéral (FCEB).
« Directive opérationnelle contraignante (BOD) 22-01 : Réduction du risque significatif de vulnérabilités exploitées connues a établi le catalogue des vulnérabilités exploitées connues comme une liste vivante des CVE connus qui présentent un risque important pour l’entreprise fédérale », explique CISA.
« BOD 22-01 exige que les agences FCEB corrigent les vulnérabilités identifiées avant la date d’échéance pour protéger les réseaux FCEB contre les menaces actives. Voir le Fiche d’information DBO 22-01 pour plus d’informations. »
Les vulnérabilités répertoriées dans le catalogue permettent aux pirates d’effectuer diverses attaques, notamment le vol d’informations d’identification, l’accès aux réseaux, l’exécution de commandes à distance, le téléchargement et l’exécution de logiciels malveillants ou le vol d’informations sur des appareils.
Avec l’ajout de ces 17 vulnérabilités, le catalogue contient désormais un total de 341 vulnérabilités et inclut la date à laquelle les agences doivent appliquer les mises à jour de sécurité pour résoudre le bug.
Les dix-sept nouvelles vulnérabilités ajoutées cette semaine sont répertoriées ci-dessous, la CISA exigeant que 10 d’entre elles soient corrigées au cours de la première semaine de février.
| Numéro CVE | Titre CVE | Date d’échéance de l’action requise |
| CVE-2021-32648 | Authentification incorrecte du CMS d’octobre | 01/02/2022 |
| CVE-2021-21315 | Bibliothèque d’informations système pour la vulnérabilité d’injection de commande node.js | 01/02/2022 |
| CVE-2021-21975 | Falsification des demandes côté serveur dans la vulnérabilité de l’API vRealize Operations Manager | 01/02/2022 |
| CVE-2021-22991 | Vulnérabilité de débordement de la mémoire tampon du micro-noyau dans le trafic BIG-IP | 01/02/2022 |
| CVE-2021-25296 | Vulnérabilité d’injection de commande du système d’exploitation Nagios XI | 01/02/2022 |
| CVE-2021-25297 | Vulnérabilité d’injection de commande du système d’exploitation Nagios XI | 01/02/2022 |
| CVE-2021-25298 | Vulnérabilité d’injection de commande du système d’exploitation Nagios XI | 01/02/2022 |
| CVE-2021-33766 | Vulnérabilité de divulgation d’informations sur Microsoft Exchange Server | 01/02/2022 |
| CVE-2021-40870 | Aviatrix Controller Téléchargement illimité de vulnérabilité de fichier | 01/02/2022 |
| CVE-2021-35247 | Vulnérabilité de validation d’entrée incorrecte de SolarWinds Serv-U | 02/04/2022 |
| CVE-2020-11978 | Vulnérabilité d’injection de commande Apache Airflow | 18/07/2022 |
| CVE-2020-13671 | Vulnérabilité de téléchargement illimité de fichiers dans Drupal Core | 18/07/2022 |
| CVE-2020-13927 | Vulnérabilité de contournement de l’authentification de l’API expérimentale Apache Airflow | 18/07/2022 |
| CVE-2020-14864 | Vulnérabilité de traversée de chemin dans Oracle Corporate Business Intelligence Enterprise Edition | 18/07/2022 |
| CVE-2006-1547 | Vulnérabilité de déni de service dans Apache Struts 1 ActionForm | 21/07/2022 |
| CVE-2012-0391 | Apache Struts 2 Vulnérabilité de validation d’entrée incorrecte | 21/07/2022 |
| CVE-2018-8453 | Vulnérabilité d’escalade de privilèges dans Microsoft Windows Win32k | 21/07/2022 |
Les vulnérabilités CVE-2021-32648 et CVE-2021-35247, qui ont été révélées cette semaine pour être activement exploitées dans des attaques, présentent un intérêt particulier.
La vulnérabilité «October CMS Improper Authentication» identifiée comme CVE-2021-32648 doit être corrigée d’ici le 1er février 2022, en raison de son utilisation récente pour pirater et défigurer les sites Web du gouvernement ukrainien.
Alors que l’Ukraine accuse ces attaques contre la Russie, certains experts en sécurité attribuent les attaques à un groupe de piratage lié à la Biélorussie connu sous le nom de Fantôme écrivain.
La nouvelle vulnérabilité « SolarWinds Serv-U Improper Input Validation » identifiée comme CVE-2021-35247 a été découverte par Microsoft pour être exploitée afin de propager les attaques Log4j aux contrôleurs de domaine Windows configurés en tant que serveurs LDAP.
Bien que les attaques utilisant la vulnérabilité Serv-U aient finalement échoué, les contrôleurs de domaine Windows n’étant pas vulnérables aux exploits Log4j, CISA demande aux agences de corriger la vulnérabilité d’ici le 4 février 2022.
Il est fortement recommandé que tous les professionnels de la sécurité et les administrateurs examinent le Catalogue des vulnérabilités exploitées connues et corrigez tout dans leur environnement.