Les agences de renseignement d’Australie, du Royaume-Uni et des États-Unis ont publié mercredi un avis conjoint détaillant les vulnérabilités les plus exploitées en 2020 et 2021, démontrant une fois de plus comment les acteurs malveillants sont capables d’armer rapidement à leur avantage les failles divulguées publiquement.
« Les cyberacteurs continuent d’exploiter des vulnérabilités logicielles connues du grand public, et souvent dépassées, contre de larges groupes cibles, y compris des organisations des secteurs public et privé dans le monde entier », la US Cybersecurity and Infrastructure Security Agency (CISA), l’Australian Cyber Security Center Le National Cyber Security Center (NCSC) du Royaume-Uni et le Federal Bureau of Investigation (FBI) des États-Unis c’est noté.
« Cependant, les entités du monde entier peuvent atténuer les vulnérabilités répertoriées dans ce rapport en appliquant les correctifs disponibles à leurs systèmes et en mettant en œuvre un système de gestion des correctifs centralisé. »
Les 30 principales vulnérabilités couvrent un large éventail de logiciels, y compris le travail à distance, les réseaux privés virtuels (VPN) et les technologies basées sur le cloud, qui couvrent un large éventail de produits de Microsoft, VMware, Pulse Secure, Fortinet, Accellion, Citrix, F5 Big IP, Atlassian et Drupal.
Les failles les plus couramment exploitées en 2020 sont les suivantes –
- CVE-2019-19781 (score CVSS : 9,8) – Citrix Application Delivery Controller (ADC) et vulnérabilité de traversée de répertoire de passerelle
- CVE-2019-11510 (score CVSS : 10,0) – Vulnérabilité de lecture de fichiers arbitraires Pulse Connect Secure
- CVE-2018-13379 (score CVSS : 9,8) – Vulnérabilité de traversée de chemin Fortinet FortiOS entraînant une fuite de fichiers système
- CVE-2020-5902 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance F5 BIG-IP
- CVE-2020-15505 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance MobileIron Core & Connector
- CVE-2020-0688 (score CVSS : 8,8) – Vulnérabilité de corruption de mémoire Microsoft Exchange
- CVE-2019-3396 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Atlassian Confluence Server
- CVE-2017-11882 (score CVSS : 7,8) – Vulnérabilité de corruption de mémoire Microsoft Office
- CVE-2019-11580 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Atlassian Crowd et Crowd Data Center
- CVE-2018-7600 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Drupal
- CVE-2019-18935 (score CVSS : 9,8) – Vulnérabilité de désérialisation Telerik .NET entraînant l’exécution de code à distance
- CVE-2019-0604 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance Microsoft SharePoint
- CVE-2020-0787 (score CVSS : 7,8) – Fanulation d’élévation des privilèges du service de transfert intelligent en arrière-plan Windows (BITS)
- CVE-2020-1472 (score CVSS : 10,0) – Vulnérabilité d’élévation des privilèges de Windows Netlogon
La liste des vulnérabilités qui ont fait l’objet d’attaques actives jusqu’à présent en 2021 est répertoriée ci-dessous –
- Serveur Microsoft Exchange : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065 (alias « ProxyLogon »)
- Impulsion sécurisée : CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, et CVE-2021-22900
- Accélération : CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, et CVE-2021-27104
- VMware : CVE-2021-21985
- Fortinet : CVE-2018-13379, CVE-2020-12812, et CVE-2019-5591
Le développement vient aussi une semaine après MITRE publié une liste des 25 principales erreurs logicielles « les plus dangereuses » qui pourraient conduire à de graves vulnérabilités qui pourraient être exploitées par un adversaire pour prendre le contrôle d’un système affecté, obtenir des informations sensibles ou provoquer un déni de service.
« Le conseil […] met le pouvoir entre les mains de chaque organisation pour corriger les vulnérabilités les plus courantes, telles que les dispositifs de passerelle VPN non corrigés », Paul Chichester, directeur des opérations du NCSC, mentionné, tout en insistant sur la nécessité de prioriser les correctifs afin de minimiser le risque d’être exploité par des acteurs malveillants.