L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ordonné aux agences civiles fédérales de corriger une vulnérabilité jour zéro de Google Chome et une vulnérabilité Redis critique activement exploitée dans la nature au cours des trois prochaines semaines.
Selon un avis Google publié vendredi, la faille de sécurité Chrome zero-day (suivie sous le nom de CVE-2022-1096) est une faiblesse de confusion de type à gravité élevée dans le moteur JavaScript Chrome V8 qui pourrait permettre aux pirates d’exécuter du code arbitraire sur des appareils ciblés. .
Le gang de logiciels malveillants Muhstik a ajouté un exploit de propagation dédié pour la vulnérabilité d’échappement du bac à sable Redis Lua (suivi sous le nom de CVE-2022-0543) après la publication d’un exploit de preuve de concept (PoC). le 10 mars.
Selon une directive opérationnelle contraignante (BOD 22-01) publiée en novembre, les agences fédérales civiles du pouvoir exécutif (FCEB) doivent sécuriser leurs systèmes contre ces vulnérabilités, la CISA leur donnant jusqu’au 18 avril pour corriger.
« Ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants de tous types et présentent un risque important pour l’entreprise fédérale », a déclaré l’agence américaine de cybersécurité. expliqué.
CISA a ajouté 30 vulnérabilités supplémentaires à son Catalogue des vulnérabilités exploitées connues aujourd’hui sur la base de preuves qu’ils sont également exploités à l’état sauvage.
Bien que le BOD 22-01 ne s’applique qu’aux agences FCEB, la CISA exhorte également les organisations des secteurs privé et public à accorder la priorité à l’atténuation de ces failles afin de réduire l’exposition aux cyberattaques en cours.
Message du lundi : 32 #CVE ont été ajoutés à @CISAgovCatalogue des vulnérabilités exploitées connues de . Vérifier https://t.co/cP9XK7ccp8 AUJOURD’HUI et corrigez le dernier #vulnérabilités avant le 18 avril 2022 ! #Gestion des vulnérabilités #KEV #CriticalPatch pic.twitter.com/QTe5JmVdxw
— US-CERT (@USCERT_gov) 28 mars 2022
Des centaines de failles de sécurité sous exploitation active
La CISA a ajouté des centaines de vulnérabilités à son catalogue de bugs activement exploités cette année, ordonnant aux agences fédérales de les corriger dès que possible pour éviter les failles de sécurité.
Vendredi dernier, l’agence a ajouté 66 autres bugs exploités dans des attaques, dont un bug Windows Print Spooler (CVE-2022-21999), permettant l’exécution de code en tant que SYSTEM.
CISA a également ajouté une faille d’interface VoIP Mitel TP-240 (CVE-2022-26143) exploitée pour une amplification record des attaques DDoS avec des ratios d’environ 4,3 milliards pour 1.
Depuis le début de 2022, l’agence de cybersécurité a ordonné aux agences civiles fédérales de corriger les vulnérabilités activement exploitées dans :