Le cyber-pompier américain et ses homologues australiens, britanniques, canadiens, et de Nouvelle-Zélande viennent de dévoiler leur top 15 des vulnérabilités les plus utilisées par des pirates informatiques en 2023. Un classement toujours instructif. Avec un constat général: l’an passé, les hackers ont utilisé davantage de failles zero-day, des vulnérabilités inédites ou sans correctif connu, pour leurs actions malveillantes.
Les deux premières failles signalées, CVE-2023-3519 et CVE-2023-4966, sont relatives aux passerelles NetScaler de Citrix. L’Anssi française avait également mis la première dans son top 5 2023. La deuxième, surnommée Citrix Bleed, avait par exemple été utilisée pour pirater le constructeur aéronautique Boeing.
Le cauchemar MOVEit
Les deux vulnérabilités suivantes (CVE-2023-20198 et CVE-2023-20273) ont elles été trouvées chez le spécialiste des réseaux Cisco. Ce sont les spécialistes cyber de l’entreprise qui avaient découvert ces failles en septembre 2023.
Les cinq agences anglo-saxonnes citent ensuite la vulnérabilité CVE-2023-27997, repérée sur des produits de Fortinet. Et enfin celle (CVE-2023-34362) visant le logiciel MOVEit de Progress software. Une faille synonyme en 2023 de cauchemar pour les spécialistes en sécurité informatique.
Elles signalent également l’exploitation de la CVE-2023-22515 des instances Confluences Data Center et Server d’Atlassian. Les produits de Barracuda Networks (CVE-2023-2868), de PaperCut (CVE-2023-27350), JetBrains (CVE-2023-42793) et de ownCloud (CVE-2023-49103) ont vu aussi leurs failles faire le miel de pirates de tout poil.
Zerologon toujours exploitée
Plus étonnant – ou pas -, outre une vulnérabilité Outlook (CVE-2023-23397) du géant du logiciel Microsoft, les cinq agences signalent toujours l’exploitation de “Zerologon”, cette faille de 2020, considérée comme l’une des failles Windows les plus graves jamais signalées. Elle permet de compromettre les contrôleurs de domaine.
Autres failles anciennes intéressantes pour des pirates: la faille (CVE-2022-47966) visant les produits de Zoho. Ou encore Log4Shell (CVE-2021- 44228). Cette faille permettant de compromettre des produits VMWare semble toujours donc l’une des armes favorites des cybercriminels.
En creux, ce top 15 des agences anglo-saxonnes rappelle qu’il y a encore des efforts à faire en termes d’application des correctifs. Mieux vaut pourtant tard que jamais, la preuve avec ce tableau.