Posté le septembre 9, 2022 à 8:05
LA CISA ORDONNE AUX AGENCES D’APPLIQUER DES CORRECTIFS À 12 NOUVELLES FAILLES
La CISA, agence Américaine chargée de la cybersécurité et de la sécurité des infrastructures, a demandé aux agences d’appliquer des correctifs pour 12 failles de sécurité, dont le zero-day de Google. La CISA a également averti que les failles ont été exploitées dans des attaques.
La directive de la CISA indique que toutes les organisations qui font partie de la branche exécutive civile fédérale (FCEB) doivent appliquer des correctifs aux vulnérabilités avant le 29 septembre 2022.
Les vulnérabilités représentent une menace sérieuse
L’agence a également averti que les vulnérabilités représentent une menace sérieuse pour les entreprises fédérales et sont devenues un vecteur d’attaque commun pour plusieurs acteurs de menaces.
Les vulnérabilités sont les suivantes : CVE-2011-1823 , CVE-2011-4723, CVE-2017-5521, CVE-2018-13374, CVE-2018-2628, CVE-2018-6530, CVE-2018-7445, CVE-2020-9934, CVE-2022-26258, CVE-2022-27593, CVE-2022-28958 et CVE-2022-3075.
Pour les utilisateurs de Linux, Mac et Windows, Google a corrigé CVE-2022-3075 après avoir publié Chrome 105.0.5195.102 la semaine dernière. La vulnérabilité était activement exploitée dans la nature avant la dernière mise à jour.
Google, par le biais d’un avis de sécurité, a indiqué qu’il connaissait l’exploitation de la CVE-2022-3075 et qu’il savait qu’elle existait dans la nature.
CVE-2022-27593 est une autre série de vulnérabilités qui a été ajoutée au catalogue KEV, qui affecte le logiciel QNAP Photo Station.
Une vulnérabilité zero-day a été repérée dans Photo Station
Le fabricant des appareils de stockage en réseau (NAS) QNAP a informé ses clients de l’existence d’une vulnérabilité zero-day dans Photo Station. La société a également averti que la faille était exploitée dans les attaques de ransomware DeadBold, bien qu’elle ait été corrigée.
QNAP a en outre indiqué que la vulnérabilité était utilisée par les acteurs de la menace pour crypter les périphériques NAS QNAP qui sont connectés en ligne. Cette vulnérabilité permet aux hackers de s’introduire dans les appareils et de mener leurs activités malveillantes au sein de l’appareil concerné.
Un autre rapport de MooBot concernant des failles de sécurité critiques dans le matériel D-Link a également été publié cette semaine. Selon ce rapport, les acteurs de l’attaque visent à exécuter un code à distance et à prendre le contrôle des appareils qui n’ont pas été corrigés.
Toutes les vulnérabilités ont été corrigées
D-Link affirme que toutes les vulnérabilités ont été corrigées, mais que certains utilisateurs doivent encore installer les correctifs. En novembre dernier, la CISA a publié une directive opérationnelle juridiquement contraignante à l’intention de toutes les agences. Elle exigeait que les agences FCEB protègent leurs systèmes contre les failles qui ont été ajoutées au catalogue KEV afin de minimiser le risque de failles exploitables connues sur les réseaux du gouvernement Américain.
Les experts en sécurité ont aussi conseillé aux entreprises Américaines des secteurs commercial et public d’accorder la priorité à la correction des problèmes, même si la directive 22-01 du DHS s’applique principalement aux agences Américaines FCEB.
Après la publication de la directive en novembre, la CISA a depuis ajouté à son catalogue KEV plus de 600 vulnérabilités qui sont exploitées dans des attaques. Cela signifie que les agences fédérales ont désormais davantage besoin de les corriger pour éviter d’être la cible d’acteurs malveillants.
La faille zero day de Google Chrome a été corrigée le 2 septembre par une mise à jour de sécurité d’urgence après que l’entreprise a été informée de son exploitation dans la nature.
La CISA a par ailleurs demandé aux agences d’accélérer la correction des vulnérabilités, déclarant que l’application des correctifs dès que possible réduira probablement de manière significative la surface d’attaque que les acteurs de menaces pourraient utiliser pour compromettre leurs réseaux.
La CISA recommande l’application immédiate des correctifs aux vulnérabilités
La CISA a précisé que ces types de bogues sont des vecteurs d’attaque réguliers pour les acteurs malveillants et qu’ils constituent de sérieuses menaces pour la sécurité de ces agences. Outre les agences mises en garde par la CISA, ce type de vulnérabilité peut également exposer d’autres organisations à des acteurs malveillants.
De ce fait, la CISA a recommandé aux administrateurs et aux professionnels de la sécurité d’examiner son catalogue KEV et d’appliquer les correctifs aux vulnérabilités répertoriées dans son environnement.
De même, la CISA a pris la mesure inhabituelle de supprimer une faille de son catalogue de vulnérabilités dont l’exploitation est connue.
L’agence de cybersécurité a déclaré qu’elle « supprime temporairement » le correctif de mai 2022 de Microsoft pour la faille de sécurité CVE-2022-26925.
Selon le CISA, il existe un risque d’échec de l’authentification après que les administrateurs ont appliqué les correctifs de sécurité de Microsoft du 10 mai 2022 aux serveurs Windows. La vulnérabilité a été retirée de la liste des correctifs obligatoires du CISA vendredi.
Microsoft a déclaré avoir informé le CISA de ce problème. Selon le géant de la technologie, le problème est lié à la façon dont les certificats sont mappés aux comptes machine et à la façon dont ils sont traités par le contrôleur de domaine.
Cependant, il a noté que le problème n’a un impact sur la mise à jour que sur les serveurs Windows utilisés comme contrôleurs de domaine.
