La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté neuf nouvelles failles à sa collection de vulnérabilités activement exploitées, dont deux vulnérabilités récemment corrigées impactant Google Chrome et Adobe Commerce/Magento Open Source.
La vulnérabilité Chrome (CVE-2022-0609) est une utilisation de haute gravité après un bogue gratuit qui peut laisser les attaquants exécuter du code arbitraire ou échapper au bac à sable de sécurité du navigateur sur les ordinateurs exécutant des versions de Chrome non corrigées traitées dans Chrome 98.0.4758.102.
Adobe a publié une mise à jour d’urgence pour corriger une faille critique (CVE-2022-24086) exploitée à l’état sauvage « dans des attaques très limitées » pour obtenir l’exécution de code à distance à l’aide d’exploits ciblant Adobe Commerce et Magento Open Source versions 2.4.3-p1/2.3.7-p2.
La société de sécurité du commerce électronique Sansec a averti que la faille de Magento est similaire à le bug critique 2015 Magento Shoplift qui a permis aux pirates de prendre le contrôle de sites Magento vulnérables.
La CISA a déclaré que toutes les agences fédérales du pouvoir exécutif civil (FCEB) doivent déployer des correctifs pour ces deux vulnérabilités de sécurité jusqu’au 1er mars 2022.
La liste complète des neuf failles ajoutées aujourd’hui au catalogue des vulnérabilités exploitées connues de CISA comprend un mélange d’anciens et de nouveaux bogues, allant de 2013 à 2022, comme indiqué dans le tableau ci-dessous.
Numéro CVE | Titre CVE | Date limite des correctifs |
CVE-2022-24086 | Adobe Commerce et Magento Open Source Validation incorrecte des entrées | 01/03/22 |
CVE-2022-0609 | Utilisation de Google Chrome après la libération | 01/03/22 |
CVE-2019-0752 | Confusion des types de Microsoft Internet Explorer | 15/08/22 |
CVE-2018-8174 | Écriture hors limites du moteur Microsoft Windows VBScript | 15/08/22 |
CVE-2018-20250 | Traversée de chemin absolu WinRAR | 15/08/22 |
CVE-2018-15982 | Utilisation d’Adobe Flash Player-Après-Libre | 15/08/22 |
CVE-2017-9841 | Injection de commande PHPUnit | 15/08/22 |
CVE-2014-1761 | Corruption de la mémoire Microsoft Word | 15/08/22 |
CVE-2013-3906 | Corruption de la mémoire des composants graphiques Microsoft | 15/08/22 |
Les agences fédérales sont tenues de corriger leurs systèmes contre ces vulnérabilités activement exploitées, selon un directive opérationnelle contraignante (BOD 22-01) émis par CISA en novembre 2021.
« Ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants de tous types et présentent un risque important pour l’entreprise fédérale », a déclaré l’agence de cybersécurité. mentionné.
« Bien que BOD 22-01 ne s’applique qu’aux agences FCEB, CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en accordant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités. »
La semaine dernière, l’agence américaine de cybersécurité a également déclaré aux agences pour mettre à jour les iPhone, Mac et iPad jusqu’au 25 février contre un bogue d’exécution de code à distance Apple WebKit exploité dans la nature.
La veille, les agences du FCEB étaient également invité à patcher 15 autres failles activement exploitéesavec le Bogue d’escalade des privilèges Windows SeriousSAM permettant aux attaquants d’exécuter du code arbitraire avec les privilèges SYSTEM marqués pour le correctif d’ici le 24 février.