La CISA alerte sur quatre failles activement exploitées… deux datent de 2018

Sept ans… ça va, on a encore de la marge

L'Agence de cybersécurité et de sécurité des infrastructures met en garde contre quatre failles déjà corrigées, mais encore activement exploitées. Deux remontent à 2018 et soulèvent l’éternelle question des mises à jour.

Sébastien Gavois

Le 05 février 2025 à 08h19

3 min

Sécurité

Outre-Atlantique, la Cybersecurity and Infrastructure Security Agency (CISA) vient d’ajouter quatre failles de sécurité à son catalogue Known Exploited Vulnerabilities (KEV). Il s’agit donc de failles pour lesquelles l’Agence de cybersécurité a des « preuves d’une exploitation active », avec les dangers que cela comporte.

Les voici, avec leur score CVSS (Système commun de notation des vulnérabilités) permettant de juger du niveau de gravité sur 10 :

CVE-2024-45195 (CVSS de 9,8) : vulnérabilité dans Apache OFBiz
CVE-2024-29059 (CVSS de 7.5) : vulnérabilité dans le framework Microsoft .NET
CVE-2018-9276 (CVSS de 7.2) : vulnérabilité dans Paessler PRTG Network Monitor
CVE-2018-19410 (CVSS de 9,8) : vulnérabilité dans Paessler PRTG Network Monitor

Deux failles de… 2018

Si vous avez l’habitude des numérotations CVE (Common Vulnerabilities and Exposures), vous avez certainement compris que les deux premières failles datent de l’année dernière (septembre et mars respectivement), tandis que les deux autres ont déjà près de sept ans.

Malgré leur grand âge, « ces vulnérabilités sont des vecteurs d’attaque fréquents pour les pirates et posent des risques importants de cybersécurité », rappelle la CISA. L’Agence laisse jusqu’au 25 février aux entités de la Federal Civilian Executive Branch (FCEB) pour se mettre à jour. Mais c’est aussi un rappel important pour tout un chacun. Le CISA ne donne par contre aucun détail sur la manière dont elles sont exploitées.

Depuis le début de cette année, 19 failles ont été ajoutées au catalogue Known Exploited Vulnerabilities. La liste complète compte plus de 1 200 failles dont l’exploitation était donc avérée au moment de leur ajout au KEV. La première remonte à 2021.

Heartbleed : 10 ans plus tard, toujours des serveurs vulnérables

Y voir arriver des failles plus de six ans après leur découverte et surtout six ans après la publication des mises à jour est inquiétant. Cela prouve, s’il en était besoin, que des règles aussi élémentaires qu’appliquer des mises à jour ne sont pas toujours respectées.

Les exemples sont cependant nombreux, même avec des failles ayant fait les gros titres. C’était le cas de Heartbleed par exemple, avec la bagatelle de 200 000 serveurs et appareils toujours vulnérables trois ans après l’électrochoc.

OpenSSL : la faille Heartbleed menace la sécurité du web, des sites ferment

Il y a quelques mois, lors d’un audit de sécurité, l’entreprise Securitum expliquait avoir trouvé deux serveurs publiquement accessibles encore vulnérables à cette brèche béante de sécurité. Elle permet pour rappel d’accéder à des données stockées dans la mémoire du serveur. Dix ans plus tard, des serveurs sont donc toujours vulnérables.

On parle là d’une faille qui a fait les gros titres pendant des jours, alors on imagine malheureusement bien ce qui peut arriver avec d’autres vulnérabilités, ayant moins de visibilité.

Cybersécurité et open source : l’électrochoc Heartbleed « n’a pas changé grand chose »

Commentaires (3)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

bansan Premium

Le 05/02/2025 à 09h29

C'est le problème de la fin des supports. J'ai un DS-209+ qui tourne toujours et qui convient très bien à mon usage. La dernière mise à jour date de l'époque de Heartbleed. Et encore, c'était une mise à jour exceptionnelle, après la fin du support officiel théorique. J'ai petit à petit désactivé tous les services non indispensable pour réduire les risques de failles mais ça reste pas terrible...

the_Grim_Reaper Premium

Le 05/02/2025 à 10h53

Que ce soit Synology ou autre, ce qui serait cool, c'est de libéré l'OS pour qu'une commu puisse assurer le patching ou autre derrière.
Y'a déjà une version pour coller DSM sur du matos non Synology, donc ce serait pas déconnant, et ça pourrait être vu positivement de ne pas forcer les clients à basculer sur du nouveau matos pour avoir des MAJ alors que le besoin en perf est assuré par du vieux matos.

Berbe Premium

Modifié le 05/02/2025 à 13h05

Ah, l'importance de l'accès aux sources, ne garantissant pas du support, mais permettant que cela puisse être le cas quand le mainteneur habituel décide de prendre le large.

Cet article est une illustration parfaite, même si banale, que de l’abandon technique ou de la privation de libertés sur de la technique peut avoir de sérieux impacts, au final, sur l'humain.

Il y a un beau sujet de société faisant le lien entre la technique et l'humain, peut-être en gommant la frontière que l'on aime tant construire pour mieux maltraiter ?
C'est l'idée derrière des "communs" : comment assurer leur existence ? Qui ? Avec quels moyens ?
S'il y a un enjeu de société, comment la société peut définir & encadrer ces notions ? De quels outils la société dispose pour fournir les moyens ? Et leur source ?