La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté sept vulnérabilités à sa liste de problèmes de sécurité activement exploités, notamment ceux de Microsoft, Linux et Jenkins.

Le « Catalogue des vulnérabilités exploitées connues » est une liste de vulnérabilités qui sont connues pour être activement exploitées dans les cyberattaques et qui doivent être corrigées par les agences du Federal Civilian Executive Branch (FCEB).

'La directive opérationnelle contraignante (BOD) 22-01 : réduction significative des risques de vulnérabilités exploitées connues a établi le catalogue des vulnérabilités exploitées connues comme une liste vivante des CVE connus qui présentent un risque important pour l'entreprise fédérale', explique CISA.

'BOD 22-01 oblige les agences FCEB à corriger les vulnérabilités identifiées avant la date d'expiration pour protéger les réseaux FCEB des menaces actives. Voir la fiche technique BOD 22-01 pour plus d'informations.'

'Les vulnérabilités répertoriées dans le catalogue permettent aux acteurs de la menace d'effectuer diverses attaques, notamment le vol d'informations d'identification, l'accès au réseau, l'exécution de commandes à distance, le téléchargement et l'exécution de logiciels malveillants ou le vol d'informations sur les appareils.'

Avec l'ajout de ces sept vulnérabilités, le catalogue contient désormais 654 vulnérabilités, y compris la date à laquelle les correctifs de sécurité et les mises à jour associés doivent être appliqués par les agences fédérales.

Les sept nouvelles vulnérabilités ajoutées cette semaine sont répertoriées ci-dessous, et la CISA exige qu'elles soient toutes corrigées d'ici le 16 mai 2022.

Comment ces bogues sont-ils utilisés dans les attaques ?

S'il est utile de savoir qu'un bogue est exploité, il est encore plus utile de comprendre comment il est activement utilisé dans les attaques.

La vulnérabilité WSO2 identifiée comme CVE-2022-29464 a été divulguée le 18 avril 2022 et un exploit public a été publié quelques jours plus tard. Les chercheurs de Rapid7 ont rapidement vu le PoC public utilisé dans les attaques pour implémenter des shells Web et des coinmineurs.

Les vulnérabilités Windows 'User Profile Service Privilege Escalation' suivies comme CVE-2022-21919 et CVE-2022-26904 ont été découvertes par Abdel Hamid Nasiri et sont des omissions ultérieures d'une vulnérabilité CVE-2021-34484 corrigée en août 2021. Toutes ces vulnérabilités ont fait l'objet d'une divulgation publique, et BleepingComputer a été informé qu'elles sont utilisées par des gangs de ransomwares pour se propager latéralement via un domaine Windows.

La vulnérabilité d'escalade de privilèges Linux connue sous le nom de 'DirtyPipe' est suivie sous le nom de CVE-2022-0847 et a été divulguée en mars 2022. Peu de temps après sa divulgation, de nombreux exploits de preuve de concept ont été publiés, permettant aux utilisateurs d'obtenir rapidement des privilèges root, comme illustré. dessous.

CVE-2022-0847 Démonstration de la vulnérabilité Dirty Pipe
La source: BleepingComputer

Les vulnérabilités CVE-2021-40450 et CVE-2021-41357 'Microsoft Win32k Privilege Escalation' ont été corrigées en octobre 2021 et constituent un ajout intéressant à la liste car il n'y a aucune mention publique de leur exploitation dans la nature.

Enfin, la vulnérabilité la plus ancienne est le bogue 'Jenkins Script Security Plugin Sandbox Bypass' suivi comme CVE-2019-1003029, que Capoae Malware a utilisé dans le passé pour déployer des cryptomineurs XMRig.

Il est fortement recommandé à tous les professionnels et administrateurs de la sécurité de consulter le catalogue des vulnérabilités exploitées connues et de corriger celles qui se trouvent dans leur environnement.