L’agence de cybersécurité du gouvernement américain a mis à jour son catalogue de « vulnérabilités exploitées connues » et a fixé des délais aux agences fédérales pour appliquer des correctifs pour les défauts de sécurité dans les logiciels créés par Qualcomm, Mikrotik, Zoho et Apache Software Foundation.

Citant des preuves d’une exploitation active contre cinq vulnérabilités spécifiques, la Cybersecurity and Infrastructure Security Agency (CISA) a averti que les retards supplémentaires dans l’application des correctifs disponibles « constituent un risque important pour l’entreprise fédérale ».

Les agences fédérales ont jusqu’au 15 décembre 2021 pour appliquer des correctifs pour une paire de failles Zoho ManageEngine ServiceDesk qui ont été au centre d’attaques APT documentées au cours des derniers mois.

Les nouveaux ajouts CVE :

• CVE-2020-11261 — Vulnérabilité de validation d’entrée incorrecte dans plusieurs chipsets Qualcomm | Correction d’ici le 01/06/2022

• CVE-2018-14847 — Vulnérabilité de traversée de répertoire du système d’exploitation du routeur MikroTik | Correction d’ici le 01/06/2022

• CVE-2021-37415 — Vulnérabilité de contournement de l’authentification Zoho ManageEngine ServiceDesk | Correction d’ici le 15/12/2021

• CVE-2021-40438 — Apache HTTP Server-Side Request Forgery (SSRF) | Correction d’ici le 15/12/2021

• CVE-2021-44077 – Exécution de code à distance Zoho ManageEngine ServiceDesk Plus | Correction d’ici le 15/12/2021

Comme SecurityWeek l’a signalé, des exploits dans la nature pour les vulnérabilités de Zoho ont été observés dans des attaques de logiciels malveillants contre des entreprises du monde entier depuis au moins septembre 2021.

L’agence a également demandé qu’une attention urgente soit accordée à un bogue de serveur HTTP Apache «à haut risque» qui expose les entreprises à des attaques SSRF (Server Side Request Forgery). L’exploitation malveillante de cette faille a déjà été documentée publiquement et la CISA a fixé une date limite au 15 décembre pour que les agences atténuent ce bogue.

Par ailleurs, l’agence donne aux agences fédérales jusqu’au 1er juin de l’année prochaine pour appliquer des correctifs aux failles du routeur du micrologiciel et du chipset qui ont également été ciblées dans des attaques liées aux ransomwares…