La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté cette semaine 95 failles de sécurité supplémentaires à son Catalogue des vulnérabilités exploitées connuesportant le nombre total de vulnérabilités activement exploitées à 478.
« Ces types de vulnérabilités sont un vecteur d’attaque fréquent pour les cyber-acteurs malveillants et présentent un risque important pour l’entreprise fédérale », a déclaré l’agence. mentionné dans un avis publié le 3 mars 2022.
Sur les 95 bogues nouvellement ajoutés, 38 concernent des vulnérabilités Cisco, 27 pour Microsoft, 16 pour Adobe, sept impactent Oracle et un correspond chacun à Apache Tomcat, ChakraCore, Exim, Mozilla Firefox, Linux Kernel, Siemens SIMATIC CP et Treck TCP. /pile IP.
La liste comprend cinq problèmes découverts dans les routeurs Cisco RV, qui, selon la CISA, sont exploités dans des attaques réelles. Les failles, qui ont été révélées au début du mois dernier, permettent l’exécution de code arbitraire avec les privilèges root.
Trois des vulnérabilités – CVE-2022-20699, CVE-2022-20700 et CVE-2022-20708 – sont notées 10 sur 10 sur l’échelle de notation CVSS, permettant à un attaquant d’injecter des commandes malveillantes, d’élever les privilèges à root et d’exécuter code arbitraire sur les systèmes vulnérables.
CVE-2022-20701 (score CVSS : 9,0) et CVE-2022-20703 (score CVSS : 9,3) ne sont pas différents en ce sens qu’ils pourraient permettre à un adversaire « d’exécuter du code arbitraire, d’élever des privilèges, d’exécuter des commandes arbitraires, de contourner les protections d’authentification et d’autorisation , récupérer et exécuter des logiciels non signés ou provoquer un déni de service », a ajouté CISA.
Cisco, pour sa part, a précédemment reconnu qu’il était « conscient que le code d’exploitation de preuve de concept est disponible pour plusieurs des vulnérabilités ». La nature supplémentaire des attaques ou des acteurs menaçants qui pourraient les armer est encore inconnue.
Afin de réduire le risque important de vulnérabilités et d’empêcher qu’elles ne soient utilisées comme vecteur de cyberattaques potentielles, les agences fédérales américaines sont mandatées pour appliquer les correctifs d’ici le 17 mars 2022.
Le développement intervient peu de temps après que Cisco a publié cette semaine des correctifs pour les vulnérabilités de sécurité critiques affectant la série Expressway et le serveur de communication vidéo Cisco TelePresence (VCS) qui pourraient être exploités par une partie malveillante pour obtenir des privilèges élevés et exécuter du code arbitraire.