La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis exige que les agences fédérales corrigent les vulnérabilités activement exploitées dans Google Chrome et les plates-formes Adobe Commerce et Magento d’ici le 1er mars.

L’agence a ajouté les deux vulnérabilités activement exploitées à son Catalogue des vulnérabilités exploitées connues, ainsi que sept autres défauts. Le catalogue a été introduit en novembre comme un moyen de pousser les agences civiles fédérales à appliquer des correctifs – comme ceux pour la faille Log4j – dans une chronologie « plus agressive ».

« Ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants de tous types et présentent un risque important pour l’entreprise fédérale », selon CISA dans son alerte du mardi.

L’une des vulnérabilités activement exploitées est une faille d’utilisation après libération de haute gravité (CVE-2022-0609) dans le composant Animation de Google Chrome. Dans un Avis de sécurité du lundi, Google a déclaré qu’il était au courant des rapports selon lesquels un exploit pour la faille existe dans la nature et qu’un correctif est disponible sur la version 98.0.4758.102 pour Windows, Mac et Linux, qui sera déployé dans les prochains jours. La faille a été découverte par Adam Weidemann et Clément Lecigne du Threat Analysis Group de Google plus tôt en février.

L’autre faille activement exploitée existe dans la plateforme Commerce d’Adobe et dans Magento, une plateforme open source qui propose un CMS hébergé et auto-hébergé pour les boutiques en ligne. Le problème provient d’une vulnérabilité critique de validation incorrecte (CVE-2022-24086) qui pourrait conduire à l’exécution de code arbitraire. Adobe a déclaré que la faille avait été exploitée à l’état sauvage dans des « attaques très limitées » ciblant les marchands d’Adobe Commerce.

Publicité

« Un attaquant distant et non autorisé peut envoyer une requête malveillante à l’application et exécuter du code arbitraire sur le serveur cible », a déclaré Pieter Arntz, chercheur sur les logiciels malveillants chez Malwarebytes, dans une analyse de la vulnérabilité. « L’exploitation réussie de cette vulnérabilité peut entraîner une compromission complète du système affecté. »

Un certain nombre de failles plus anciennes ont également été ajoutées au catalogue de CISA, notamment les vulnérabilités Microsoft dans Internet Explorer (CVE-2019-0752), Windows VBScript Engine (CVE-2018-8174), Word (CVE-2014-1761) et le composant graphique ( CVE-2013-3906). Les agences fédérales ont jusqu’au 15 août pour corriger ces vulnérabilités, mais la CISA espère que le catalogue incitera les entreprises à appliquer également les mises à jour.

« Bien que BOD 22-01 ne s’applique qu’aux agences FCEB, CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités », selon CISA.

Rate this post
Publicité
Article précédentUn « piratage » sérieux de NFT envoie soudainement Bitcoin, Ethereum, BNB, Solana et Cardano en forte baisse
Article suivantSi Internet est un exemple, le métaverse sera un désordre chaud virtuel
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici