Connexion
Abonnez-vous

La CISA alerte sur quatre failles activement exploitées… deux datent de 2018

Sept ans… ça va, on a encore de la marge

La CISA alerte sur quatre failles activement exploitées… deux datent de 2018

L'Agence de cybersécurité et de sécurité des infrastructures met en garde contre quatre failles déjà corrigées, mais encore activement exploitées. Deux remontent à 2018 et soulèvent l’éternelle question des mises à jour.

Le 05 février à 08h19

Outre-Atlantique, la Cybersecurity and Infrastructure Security Agency (CISA) vient d’ajouter quatre failles de sécurité à son catalogue Known Exploited Vulnerabilities (KEV). Il s’agit donc de failles pour lesquelles l’Agence de cybersécurité a des « preuves d’une exploitation active », avec les dangers que cela comporte.

Les voici, avec leur score CVSS (Système commun de notation des vulnérabilités) permettant de juger du niveau de gravité sur 10 :

Deux failles de… 2018

Si vous avez l’habitude des numérotations CVE (Common Vulnerabilities and Exposures), vous avez certainement compris que les deux premières failles datent de l’année dernière (septembre et mars respectivement), tandis que les deux autres ont déjà près de sept ans.

Malgré leur grand âge, « ces vulnérabilités sont des vecteurs d’attaque fréquents pour les pirates et posent des risques importants de cybersécurité », rappelle la CISA. L’Agence laisse jusqu’au 25 février aux entités de la Federal Civilian Executive Branch (FCEB) pour se mettre à jour. Mais c’est aussi un rappel important pour tout un chacun. Le CISA ne donne par contre aucun détail sur la manière dont elles sont exploitées.

Depuis le début de cette année, 19 failles ont été ajoutées au catalogue Known Exploited Vulnerabilities. La liste complète compte plus de 1 200 failles dont l’exploitation était donc avérée au moment de leur ajout au KEV. La première remonte à 2021.

Heartbleed : 10 ans plus tard, toujours des serveurs vulnérables

Y voir arriver des failles plus de six ans après leur découverte et surtout six ans après la publication des mises à jour est inquiétant. Cela prouve, s’il en était besoin, que des règles aussi élémentaires qu’appliquer des mises à jour ne sont pas toujours respectées.

Les exemples sont cependant nombreux, même avec des failles ayant fait les gros titres. C’était le cas de Heartbleed par exemple, avec la bagatelle de 200 000 serveurs et appareils toujours vulnérables trois ans après l’électrochoc.

Il y a quelques mois, lors d’un audit de sécurité, l’entreprise Securitum expliquait avoir trouvé deux serveurs publiquement accessibles encore vulnérables à cette brèche béante de sécurité. Elle permet pour rappel d’accéder à des données stockées dans la mémoire du serveur. Dix ans plus tard, des serveurs sont donc toujours vulnérables.

On parle là d’une faille qui a fait les gros titres pendant des jours, alors on imagine malheureusement bien ce qui peut arriver avec d’autres vulnérabilités, ayant moins de visibilité.

Commentaires (3)

votre avatar
C'est le problème de la fin des supports. J'ai un DS-209+ qui tourne toujours et qui convient très bien à mon usage. La dernière mise à jour date de l'époque de Heartbleed. Et encore, c'était une mise à jour exceptionnelle, après la fin du support officiel théorique. J'ai petit à petit désactivé tous les services non indispensable pour réduire les risques de failles mais ça reste pas terrible...
votre avatar
Que ce soit Synology ou autre, ce qui serait cool, c'est de libéré l'OS pour qu'une commu puisse assurer le patching ou autre derrière.
Y'a déjà une version pour coller DSM sur du matos non Synology, donc ce serait pas déconnant, et ça pourrait être vu positivement de ne pas forcer les clients à basculer sur du nouveau matos pour avoir des MAJ alors que le besoin en perf est assuré par du vieux matos.
votre avatar
Ah, l'importance de l'accès aux sources, ne garantissant pas du support, mais permettant que cela puisse être le cas quand le mainteneur habituel décide de prendre le large.

Cet article est une illustration parfaite, même si banale, que de l’abandon technique ou de la privation de libertés sur de la technique peut avoir de sérieux impacts, au final, sur l'humain.

Il y a un beau sujet de société faisant le lien entre la technique et l'humain, peut-être en gommant la frontière que l'on aime tant construire pour mieux maltraiter ?
C'est l'idée derrière des "communs" : comment assurer leur existence ? Qui ? Avec quels moyens ?
S'il y a un enjeu de société, comment la société peut définir & encadrer ces notions ? De quels outils la société dispose pour fournir les moyens ? Et leur source ?

:phiphi: :byebye: :reflechis: :smack:

La CISA alerte sur quatre failles activement exploitées… deux datent de 2018

  • Deux failles de… 2018

  • Heartbleed : 10 ans plus tard, toujours des serveurs vulnérables

Fermer