Le FBI, la NSA et les autorités de cybersécurité de la Five Eyes intelligence alliance ont publié aujourd’hui une liste des 15 principales vulnérabilités exploitées régulièrement tout au long de l’année dernière.
Un avis conjoint publié mardi appelle les organisations du monde entier à corriger immédiatement ces failles de sécurité et à déployer des systèmes de gestion des correctifs pour minimiser l’exposition de leurs réseaux aux attaques potentielles.
« En 2023, les cyberacteurs malveillants ont exploité davantage de vulnérabilités zero-day pour compromettre les réseaux d’entreprise par rapport à 2022, leur permettant de mener des cyberopérations contre des cibles plus prioritaires », ont averti les agences de cybersécurité.
« En 2023, la majorité des vulnérabilités les plus fréquemment exploitées l’ont été initialement en tant que zero-day, ce qui représente une augmentation par rapport à 2022, lorsque moins de la moitié des vulnérabilités les plus exploitées l’ont été en tant que zero-day. »
Comme ils l’ont également révélé, 12 des 15 principales vulnérabilités couramment exploitées dans la nature ont été corrigées l’année dernière, s’alignant avec les agences avertissant que les acteurs de la menace concentraient leurs attaques sur les jours zéro (failles de sécurité qui ont été divulguées mais qui doivent encore être corrigées).
Voici la liste complète des vulnérabilités les plus exploitées de l’année dernière et des liens pertinents vers les entrées de la Base de données nationale sur les vulnérabilités.
| CVE | Vendor | Product | Type |
| CVE-2023-3519 | Citrix | NetScaler ADC/Gateway | Code Injection |
| CVE-2023-4966 | Citrix | NetScaler ADC/Gateway | Buffer Overflow |
| CVE-2023-20198 | Cisco | IOS XE Web UI | Privilege Escalation |
| CVE-2023-20273 | Cisco | IOS XE | Web UI Command Injection |
| CVE-2023-27997 | Fortinet | FortiOS/FortiProxy SSL-VPN | Heap-Based Buffer Overflow |
| CVE-2023-34362 | Progress | MOVEit Transfer | SQL Injection |
| CVE-2023-22515 | Atlassian | Confluence Data Center/Server | Broken Access Control |
| CVE-2021- 44228 (Log4Shell) | Apache | Log4j2 | Remote Code Execution |
| CVE-2023-2868 | Barracuda Networks | ESG Appliance | Improper Input Validation |
| CVE-2022-47966 | Zoho | ManageEngine Multiple Products | Remote Code Execution |
| CVE-2023-27350 | PaperCut | MF/NG | Improper Access Control |
| CVE-2020-1472 | Microsoft | Netlogon | Privilege Escalation |
| CVE-2023-42793 | JetBrains | TeamCity | Authentication Bypass |
| CVE-2023-23397 | Microsoft | Office Outlook | Privilege Escalation |
| CVE-2023-49103 | ownCloud | graphapi | Information Disclosure |
CVE-2023-3519, une vulnérabilité d’injection de code dans NetScaler ADC / Gateway qui permet aux attaquants d’obtenir l’exécution de code à distance sur des serveurs non corrigés, a pris la première place après que des pirates informatiques d’État en ont abusé pour violer des organisations d’infrastructures critiques américaines.
Début août 2023, cette faille de sécurité avait été exploitée pour pirater au moins 640 serveurs Citrix dans le monde et plus de 2 000 à la mi-août.
L’avis d’aujourd’hui met en évidence 32 autres vulnérabilités souvent exploitées l’année dernière pour compromettre les organisations et fournit des informations sur la manière dont les défenseurs peuvent réduire leur exposition aux attaques qui les exploitent dans la nature.
En juin dernier, MITRE a également dévoilé les 25 faiblesses logicielles les plus dangereuses des deux années civiles précédentes et, en novembre 2021, une liste des faiblesses matérielles les plus importantes.
« Toutes ces vulnérabilités sont connues du public, mais beaucoup figurent dans la liste des 15 premières pour la première fois », a déclaré mardi Jeffrey Dickerson, directeur technique de la cybersécurité de la NSA.
« Les défenseurs des réseaux doivent prêter une attention particulière aux tendances et prendre des mesures immédiates pour s’assurer que les vulnérabilités sont corrigées et atténuées. L’exploitation se poursuivra probablement en 2024 et 2025. »