Cybersécurité : Les 10 vulnérabilités les plus exploitées

Le CISA, l’agence américaine de cybersécurité et de sécurité des infrastructures a publié la liste des 10 vulnérabilités principales régulièrement exploitées de 2016 à 2019, qui se compose principalement de failles dans les produits Microsoft, en particulier dans Microsoft Office.

Le constat est le suivant : Les cybercriminels exploitent activement les vulnérabilitées connues mais dont le correctif n’a pas encore été publié ou bien mal déployé. L’accès au zero days reste toujours couteux et difficile d’accès.

Voici la liste :

1. CVE-2017-11882 : Cette vulnérabilité très dangereuse d’execution de code à distance (RCE) touche les produits Microsoft Office (2007 SP3/2010 SP2/2013 SP1/2016). Elle est connue pour avoir servi à diffuser les malwares Loki, FormBook et Pony/FareIT, etc.
2. CVE-2017-0199 : Ce bug RCE aussi touche Office (2007 SP3/2010 SP2/2013 SP1/2016) et Windows (Vista SP2, Server 2008 SP2, Windows 7 SP1, Windows 8.1). Il peut être exploité via l’ouverture d’un document pour diffuser des programme d’espionnage (trojan) comme les fameux FinSpy, Dridex et LatentBot.
3. CVE-2017-5638 : Cette faille touche la librairie Apache Struts 2 (2 2.3.x avant 2.3.32 et 2.5.x avant la version 2.5.10.1), framework de développement d’applications web Java, utilisée massivement dans une très grande majorité d’applications Web. Il s’agit là aussi d’une faille de type RCE.
4. CVE-2012-0158 : Cette vulnérabilité touche les fonctions de plugins ActiveX et permet à des attaquants distants d’exécuter du code arbitraire via un site web dédié, un document Office ou un fichier .rtf. La faille est utilisée massivement par le malware Dridex. La vulnérabilité touche plusieurs versions de produits Microsoft (Office 2003 SP3, 2007 SP2 et SP3, et 2010 Gold et SP1 ; Office 2003 Web Components SP3 ; SQL Server 2000 SP4, 2005 SP4, et 2008 SP2, SP3, et R2 ; BizTalk Server 2002 SP1 ; Commerce Server 2002 SP4, 2007 SP2, et 2009 Gold et R2 ; Visual FoxPro 8.0 SP1 et 9.0 SP2 ; et, enfin, Visual Basic 6.0).
5. CVE-2019-0604 : le bug RCE le plus récent de la liste concerne Microsoft Sharepoint. La faille est utilisée comme point d’entrée du malware China Chopper.
6. CVE-2017-0143 : la vulnérabilité SMB concerne les produits Microsoft Windows (Vista SP2 ; Server 2008 SP2 et R2 SP1 ; 7 SP1 ; 8.1 ; Server 2012 Gold et R2 ; RT 8.1 ; et 10 Gold, 1511 et 1607 ; et Windows Server 2016). Une faille utilisée par EternalBlue, un exploit développé par la NSA (National Security Agency), cette faille a servi notemment dans la crise WannaCry et NotPetya.
7. CVE-2018-4878 : Cette faille a permis l’exécution de code arbitraire dans Adobe Flash Player (avant la version 28.0.0.161). Elle a notamment été utilisée pour répandre le malware Dogcall.
8. CVE-2017-8759 : La vulnérabilité dans le framework Microsoft .NET (2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 et 4.7) permet aussi l’exécution à distance de code arbitraire. Elle est associée aux malwares FinFisher/FinSpy et WingBird.
9. CVE-2015-1641 : Il s’agit d’une ancienne faille dans des produits Office. Sont concernés les produits Microsoft Word (2007 SP3, Office 2010 SP2, Word 2010 SP2, Word 2013 SP1, Word 2013 RT SP1, Word pour Mac 2011), Office Compatibility Pack SP3, Word Automation Services sur SharePoint Server 2010 SP2 et 2013 SP1, et Office Web Apps Server 2010 SP2 et 2013 SP1.
10. CVE-2018-7600 : Ce bug d’exécution de code arbitraire à distance touche le CMS Drupal (Application de publication de contenu sur internet utilisée pour plusieurs sites web et boutiques en ligne). Les versions de Drupal avant la 7.58, 8.x avant la 8.3.9, 8.4.x avant la 8.4.6, et 8.5.x avant la 8.5.1 sont concernés.

La CISA alerte aussi sur deux failles récentes activement exploitées pendant cette période de télétravail : elles touchent les systèmes de VPN endpoints : une vulnérabilité dans Citrix ADC et Citrix Gateway (CVE-2019-19781) et une faille dans Pulse Connect Secure (CVE-2019-11510).

Comme toujours, la recommendation est de mettre à jour à la dernière version, et pour le cas des composants (comme struts) recomposer son application et la réecrire avec la mise à jour la plus récente qui corrige les failles de vulnérabilités connues.

Je vous invite à lire mon article sur les scanners de vulnérabilités gratuites pour plonger à la recherche de ces vulnérabilités dans vos installations.