L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis à jour sa liste de vulnérabilités exploitées connues avec 15 nouveaux problèmes de sécurité qui constituent un vecteur d’attaque fréquent contre les entreprises fédérales.
Les derniers ajouts varient en termes de gravité et de date de divulgation, certains d’entre eux étant classés à risque moyen tandis que d’autres remontent à 2013.
En combinaison avec d’autres facteurs tels que la présence d’un acteur de la menace sur le réseau, les appareils anciens et non corrigés et/ou l’exposition des appareils sur l’Internet public, les vulnérabilités constituent une grave faille de sécurité et une opportunité pour les adversaires.
Bugs anciens sur la liste
CISA a compilé la nouvelle liste après avoir trouvé des preuves que les problèmes de sécurité nouvellement ajoutés au catalogue des vulnérabilités exploitées connues sont utilisés dans des attaques en cours.
Sur les 15 entrées, seules quatre sont plus récentes, de 2021 et une autre de 2020. Les autres ont plus de deux ans, la plus ancienne d’entre elles datant de 2013 – un bug dans la fonction WinVerifyTrust suivi comme CVE-2013-3900, qui affecte les versions de Windows à partir de XP SP2 jusqu’à Server 2012.
Une autre vulnérabilité ancienne date de 2015, une exécution de code à distance dans IBM WebSphere Application Server et Server Hy Server Hypervisor Edition, identifiée comme CVE-2015-7450 et classé comme critique (niveau de gravité 9,8 sur 10).
Le tableau ci-dessous montre toutes les vulnérabilités que la CISA souhaite que les agences fédérales corrigent ce mois-ci pour renforcer les défenses contre les menaces actives. CISA recommande appliquer les mises à jour disponibles selon les instructions du fournisseur.
| Identifiant CVE | La description |
Date d’échéance de la correction |
Cote de gravité NVD |
| CVE-2021-22017 | Vulnérabilité de contrôle d’accès incorrect de VMware vCenter Server | 24/01/2022 | 5.3 (moyen) |
| CVE-2021-36260 | Vulnérabilité de validation d’entrée incorrecte chez Hikvision | 24/01/2022 | 9.8 (critique) |
| CVE-2021-27860 | Vulnérabilité FatPipe WARP, IPVPN et MPVPN Privilege Escalation | 24/01/2022 | 8,8 (élevé) |
| CVE-2020-6572 | Google Chrome avant 81.0.4044.92 Vulnérabilité après utilisation gratuite | 10/07/2022 | 8,8 (élevé) |
| CVE-2019-1458 | Vulnérabilité d’élévation des privilèges de Microsoft Win32K | 10/07/2022 | 7.8 (élevé) |
| CVE-2019-7609 | Vulnérabilité d’exécution de code à distance d’Elastic Kibana | 10/07/2022 | 10.0 (critique) |
| CVE-2019-2725 | Oracle WebLogic Server, vulnérabilité d’injection | 10/07/2022 | 9.8 (critique) |
| CVE-2019-9670 | Synacor Zimbra Collaboration Suite Restriction inappropriée de la vulnérabilité de référence d’entité externe XML | 10/07/2022 | 9.8 (critique) |
| CVE-2019-10149 | Vulnérabilité de validation d’entrée incorrecte de l’agent de transfert de courrier Exim (MTA) | 10/07/2022 | 9.8 (critique) |
| CVE-2019-1579 | Vulnérabilité d’exécution de code à distance PAN-OS de Palo Alto Networks | 10/07/2022 | 8.1 (élevé) |
| CVE-2018-13383 | Vulnérabilité d’autorisation incorrecte de Fortinet FortiOS et FortiProxy | 10/07/2022 | 6,5 (moyen) |
| Vulnérabilité d’autorisation incorrecte de Fortinet FortiOS et FortiProxy | 10/07/2022 | 7,5 (élevé) | |
| CVE-2017-100486 | Vulnérabilité d’exécution de code à distance de l’application Primetek Primefaces | 10/07/2022 | 9.8 (critique) |
| CVE-2015-7450 | Vulnérabilité d’exécution de code à distance dans IBM WebSphere Application Server et Server Hy Server Hypervisor Edition | 10/07/2022 | 9.8 (critique) |
| Vulnérabilité d’exécution de code à distance d’Elastic Kibana | 10/07/2022 | N / A |
Le catalogue CISA des vulnérabilités exploitées connues fait partie de la directive opérationnelle contraignante (BOD) 22-01 pour réduire les risques de sécurité et pour une meilleure gestion des vulnérabilités.
En vertu de cette directive, les agences civiles fédérales doivent identifier dans leurs systèmes les problèmes de sécurité répertoriés dans le catalogue et y remédier.
Bien que le catalogue s’adresse principalement aux agences civiles fédérales, il constitue une bonne référence pour les organisations de tous types afin de réduire leur exposition aux cyber-risques.