Dans le but de sensibiliser les entreprises privées et les agences gouvernementales, les agences de cybersécurité des États-Unis, du Royaume-Uni et de l’Australie ont publié un nouvel avis conjoint contenant des informations sur les failles de sécurité les plus exploitées de l’année dernière et jusqu’à présent cette année.
Tel que rapporté par L’enregistrement, la US Cybersecurity and Infrastructure Security Agency (CISA) et le FBI ainsi que le UK National Cyber Security Center (NCSC) et le Australian Cyber Security Center (ACSC) ont tous publié des avis conjoints sur les principales vulnérabilités exploitées par les cybercriminels.
Ces vulnérabilités existent dans une grande variété de produits tels que les appliances VPN, les serveurs de messagerie, les passerelles d’accès réseau, les applications Web, les logiciels de bureau, etc.
Selon l’avis conjoint des agences de cybersécurité, il s’agissait des failles de sécurité les plus exploitées en 2020 par fournisseur et type, ainsi que leurs numéros de suivi CVE :
Sommaire
Principales vulnérabilités en 2021 à ce jour
L’avis conjoint contient également une deuxième liste de vulnérabilités que les cybercriminels ont activement exploitées dans leurs attaques jusqu’à présent cette année. Cependant, cette liste est divisée par fournisseur :
- Microsoft Exchange : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065
- Impulsion sécurisée : CVE-2021-22893, CVE-2021-22894, CVE-2021-22899 et CVE-2021-22900
- Accellion : CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104
- VMware : CVE-2021-21985
- Fortinet : CVE-2018-13379, CVE-2020-12812 et CVE-2019-5591
En publiant ces deux listes des principales failles de sécurité l’année dernière et jusqu’à présent cette année, les agences de cybersécurité des États-Unis, du Royaume-Uni et de l’Australie espèrent encourager les entreprises ainsi que les agences gouvernementales à réexaminer leurs produits et services afin que ils peuvent corriger toutes les vulnérabilités qu’ils n’ont pas encore corrigées.
Le directeur des opérations du NCSC du Royaume-Uni, Paul Chichester, a fourni de plus amples informations sur l’avis conjoint publié par les agences de cybersécurité des trois pays dans un communiqué de presse, en déclarant :
« Nous nous engageons à travailler avec nos alliés pour sensibiliser aux cyber-faiblesses mondiales et à présenter des solutions facilement exploitables pour les atténuer. L’avis publié aujourd’hui donne à chaque organisation le pouvoir de corriger les vulnérabilités les plus courantes, telles que les passerelles VPN non corrigées. En collaboration avec nos partenaires internationaux, nous continuerons de sensibiliser aux menaces posées par ceux qui cherchent à nuire. »
Via le dossier
