En collaboration avec la CISA, la NSA et le FBI, les autorités de cybersécurité de Five Eyes ont publié aujourd’hui une liste des 12 vulnérabilités les plus exploitées tout au long de 2022.
Les agences de cybersécurité aux États-Unis, en Australie, au Canada, en Nouvelle-Zélande et au Royaume-Uni ont appelé les organisations du monde entier à remédier à ces failles de sécurité et à déployer des systèmes de gestion des correctifs afin de minimiser leur exposition à des attaques potentielles.
Les acteurs de la menace ont de plus en plus concentré leurs attaques sur les vulnérabilités logicielles obsolètes plutôt que sur celles récemment révélées au cours de l’année précédente, ciblant spécifiquement les systèmes non corrigés et exposés sur Internet.
« En 2022, les cyber-acteurs malveillants ont exploité les vulnérabilités logicielles plus anciennes plus fréquemment que les vulnérabilités récemment révélées et ont ciblé des systèmes non corrigés et accessibles sur Internet », indique l’avis conjoint.
« Le code de preuve de concept (PoC) était accessible au public pour de nombreuses vulnérabilités logicielles ou chaînes de vulnérabilité, facilitant probablement l’exploitation par un plus large éventail de cyber-acteurs malveillants. »
Alors que le programme Common Vulnerabilities and Exposures (CVE) a publié plus de 25 000 nouvelles vulnérabilités de sécurité jusqu’à la fin de 2022, seules cinq vulnérabilités ont figuré sur la liste des 12 principales failles exploitées lors d’attaques la même année.
Vous trouverez ci-dessous la liste des 12 failles de sécurité les plus exploitées l’année dernière et des liens pertinents vers les entrées de la base de données nationale sur les vulnérabilités.
La première place revient à CVE-2018-13379, une vulnérabilité VPN SSL Fortinet que la société a corrigée il y a quatre ans, en mai 2019. Le bogue a été abusé par des pirates informatiques pour violer les systèmes de soutien aux élections du gouvernement américain.
Pour sécuriser leurs systèmes et réduire le risque de violation, les agences auteurs ont exhorté les fournisseurs, les concepteurs, les développeurs et les organisations d’utilisateurs finaux à mettre en œuvre les mesures d’atténuation décrites dans l’avis.
En juin, MITRE a dévoilé la liste des 25 faiblesses logicielles les plus répandues et les plus dangereuses qui ont persisté au cours des deux dernières années. Il y a deux ans, il partageait également les failles de sécurité matérielles les plus dangereuses en matière de programmation, de conception et d’architecture.
La CISA et le FBI ont également publié une compilation des 10 failles de sécurité les plus exploitées entre 2016 et 2019.
« Les organisations continuent d’utiliser des logiciels et des systèmes non corrigés, laissant des ouvertures facilement découvertes aux cyberacteurs à cibler », a averti Neal Ziring, directeur technique de la direction de la cybersécurité de la NSA.
« Les vulnérabilités plus anciennes peuvent fournir à ces acteurs des moyens peu coûteux et à fort impact d’accéder à des données sensibles. »