La CISA alerte sur quatre failles activement exploitées… deux datent de 2018
Sept ans… ça va, on a encore de la marge

L'Agence de cybersécurité et de sécurité des infrastructures met en garde contre quatre failles déjà corrigées, mais encore activement exploitées. Deux remontent à 2018 et soulèvent l’éternelle question des mises à jour.
Le 05 février à 08h19
3 min
Sécurité
Sécurité
Outre-Atlantique, la Cybersecurity and Infrastructure Security Agency (CISA) vient d’ajouter quatre failles de sécurité à son catalogue Known Exploited Vulnerabilities (KEV). Il s’agit donc de failles pour lesquelles l’Agence de cybersécurité a des « preuves d’une exploitation active », avec les dangers que cela comporte.
Les voici, avec leur score CVSS (Système commun de notation des vulnérabilités) permettant de juger du niveau de gravité sur 10 :
- CVE-2024-45195 (CVSS de 9,8) : vulnérabilité dans Apache OFBiz
- CVE-2024-29059 (CVSS de 7.5) : vulnérabilité dans le framework Microsoft .NET
- CVE-2018-9276 (CVSS de 7.2) : vulnérabilité dans Paessler PRTG Network Monitor
- CVE-2018-19410 (CVSS de 9,8) : vulnérabilité dans Paessler PRTG Network Monitor
Deux failles de… 2018
Si vous avez l’habitude des numérotations CVE (Common Vulnerabilities and Exposures), vous avez certainement compris que les deux premières failles datent de l’année dernière (septembre et mars respectivement), tandis que les deux autres ont déjà près de sept ans.
Malgré leur grand âge, « ces vulnérabilités sont des vecteurs d’attaque fréquents pour les pirates et posent des risques importants de cybersécurité », rappelle la CISA. L’Agence laisse jusqu’au 25 février aux entités de la Federal Civilian Executive Branch (FCEB) pour se mettre à jour. Mais c’est aussi un rappel important pour tout un chacun. Le CISA ne donne par contre aucun détail sur la manière dont elles sont exploitées.
Depuis le début de cette année, 19 failles ont été ajoutées au catalogue Known Exploited Vulnerabilities. La liste complète compte plus de 1 200 failles dont l’exploitation était donc avérée au moment de leur ajout au KEV. La première remonte à 2021.
Heartbleed : 10 ans plus tard, toujours des serveurs vulnérables
Y voir arriver des failles plus de six ans après leur découverte et surtout six ans après la publication des mises à jour est inquiétant. Cela prouve, s’il en était besoin, que des règles aussi élémentaires qu’appliquer des mises à jour ne sont pas toujours respectées.
Les exemples sont cependant nombreux, même avec des failles ayant fait les gros titres. C’était le cas de Heartbleed par exemple, avec la bagatelle de 200 000 serveurs et appareils toujours vulnérables trois ans après l’électrochoc.
Il y a quelques mois, lors d’un audit de sécurité, l’entreprise Securitum expliquait avoir trouvé deux serveurs publiquement accessibles encore vulnérables à cette brèche béante de sécurité. Elle permet pour rappel d’accéder à des données stockées dans la mémoire du serveur. Dix ans plus tard, des serveurs sont donc toujours vulnérables.
On parle là d’une faille qui a fait les gros titres pendant des jours, alors on imagine malheureusement bien ce qui peut arriver avec d’autres vulnérabilités, ayant moins de visibilité.
La CISA alerte sur quatre failles activement exploitées… deux datent de 2018
-
Deux failles de… 2018
-
Heartbleed : 10 ans plus tard, toujours des serveurs vulnérables
Commentaires (3)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousHier à 09h29
Hier à 10h53
Y'a déjà une version pour coller DSM sur du matos non Synology, donc ce serait pas déconnant, et ça pourrait être vu positivement de ne pas forcer les clients à basculer sur du nouveau matos pour avoir des MAJ alors que le besoin en perf est assuré par du vieux matos.
Modifié le 05/02/2025 à 13h05
Cet article est une illustration parfaite, même si banale, que de l’abandon technique ou de la privation de libertés sur de la technique peut avoir de sérieux impacts, au final, sur l'humain.
Il y a un beau sujet de société faisant le lien entre la technique et l'humain, peut-être en gommant la frontière que l'on aime tant construire pour mieux maltraiter ?
C'est l'idée derrière des "communs" : comment assurer leur existence ? Qui ? Avec quels moyens ?
S'il y a un enjeu de société, comment la société peut définir & encadrer ces notions ? De quels outils la société dispose pour fournir les moyens ? Et leur source ?