Support technique
Documentation
Connexion
Nous contacter
La loi CISA ordonne aux agences fédérales de corriger les vulnérabilités de type "zero-day".
Le 13 avril 2023 - L'équipe de relations publiques de TuxCare
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a demandé aux agences gouvernementales de corriger les failles de sécurité utilisées dans les attaques de type "zero-day" lors d'incidents récents au cours desquels des logiciels espions commerciaux ont été installés sur des appareils mobiles.
Ces failles ont été exploitées dans de nombreuses chaînes d'attaque lors de deux campagnes distinctes visant les utilisateurs d'Android et d'iOS. Selon le groupe d'analyse des menaces (TAG) de Google, l'objectif ultime était d'installer sur Android un logiciel espion capable de décrypter et de collecter des données à partir de diverses applications de chat et d'Internet.
La première vague d'attaques a débuté en novembre 2022, les criminels utilisant plusieurs chaînes d'exploitation pour cibler les appareils iOS et Android. Selon Clément Lecigne, de Google TAG, les attaquants ont profité de la longue période qui s'est écoulée entre le moment où la solution a été divulguée et celui où elle a été entièrement déployée sur les appareils grand public. Les résultats du laboratoire de sécurité d'Amnesty International ont permis de découvrir et de publier des informations sur les domaines et les infrastructures impliqués dans les attaques.
En conséquence, la CISA a ajouté cinq des dix vulnérabilités utilisées dans les deux campagnes de logiciels espions à son catalogue de vulnérabilités exploitées connues (KEV). Il s'agit des vulnérabilités suivantes : CVE-2021-30900 Apple iOS, iPadOS et macOS Out-of-Bounds Write Vulnerability ; CVE-2022-38181 Arm Mali GPU Kernel Driver Use-After-Free Vulnerability ; CVE-2023-0266 Linux Kernel Use-After-Free Vulnerability ; CVE-2022-3038 Google Chrome Use-After-Free Vulnerability ; et CVE-2022-22706 Arm Mali GPU Kernel Driver Unspecified Vulnerability.
La CISA a donné trois semaines, jusqu'au 20 avril, aux agences fédérales de l'exécutif civil (FCEB) pour corriger les appareils mobiles vulnérables contre les attaques potentielles qui viseraient ces cinq failles de sécurité. Les agences FCEB doivent sécuriser leurs réseaux contre tous les bogues ajoutés à la liste de la CISA des vulnérabilités connues pour être exploitées dans des attaques, conformément à la directive opérationnelle contraignante BOD 22-01 publiée en novembre 2021. Bien que la directive ne s'applique qu'aux agences FCEB, la CISA recommande vivement à toutes les organisations de patcher en priorité ces bogues afin de contrecarrer les tentatives d'exploitation.
La CISA a également ajouté dix nouvelles vulnérabilités à son catalogue de vulnérabilités connues et exploitées, sur la base de preuves d'exploitation active. Ces vulnérabilités sont les suivantes : CVE-2013-3163 Vulnérabilité de corruption de la mémoire de Microsoft Internet Explorer ; CVE-2014-1776 Vulnérabilité de corruption de la mémoire de Microsoft Internet Explorer ; CVE-2017-7494 Vulnérabilité d'exécution de code à distance de Samba ; CVE-2022-42948 Vulnérabilité d'exécution de code à distance de l'interface utilisateur de Fortra Cobalt Strike ; CVE-2022-39197 Vulnérabilité d'écriture intersite (XSS) de Fortra Cobalt Strike Teamserver ; CVE-2021-30900 Vulnérabilité d'écriture hors limites dans Apple iOS, iPadOS et macOS ; CVE-2022-38181 Vulnérabilité d'utilisation après coup du pilote de noyau du GPU Mali d'Arm ; CVE-2023-0266 Vulnérabilité d'utilisation après coup du noyau Linux ; CVE-2022-3038 Vulnérabilité d'utilisation après coup de Google Chrome ; et CVE-2022-22706 Vulnérabilité non spécifiée du pilote de noyau du GPU Mali d'Arm.
La CISA a averti que ces types de vulnérabilités sont des vecteurs d'attaque fréquents pour les cyberacteurs malveillants et qu'ils présentent des risques importants pour l'entreprise fédérale. Le catalogue des vulnérabilités connues et exploitées (Known Exploited Vulnerabilities Catalog) est une liste évolutive des vulnérabilités et expositions communes (CVE) connues qui présentent un risque important pour l'entreprise fédérale, conformément à la directive opérationnelle contraignante (BOD) 22-01 : Réduire le risque significatif des vulnérabilités connues et exploitées.
Les sources de cet article comprennent un article de BleepingComputer.
