L’Agence pour la cybersécurité et la sécurité des infrastructures a ajouté trois failles de sécurité supplémentaires à sa liste de bogues exploités dans des attaques, dont un RCE du serveur Bitbucket et deux zero day de Microsoft Exchange.
Bien que Microsoft n’ait pas encore publié de mises à jour de sécurité pour corriger cette paire de bogues activement exploités, elle a partagé des mesures d’atténuation exigeant que les clients ajoutent une règle de blocage du serveur IIS qui bloquerait les tentatives d’attaque.
La troisième faille de sécurité que la CISA a ajoutée à sa liste KEV aujourd’hui est une vulnérabilité d’injection de commande de gravité critique dans le serveur et le centre de données Bitbucket d’Atlassian, avec un code d’exploitation de preuve de concept disponible publiquement.
Les attaquants peuvent obtenir une exécution de code à distance en exploitant la faille via des requêtes HTTP malveillantes.
“Ces types de vulnérabilités constituent un vecteur d’attaque fréquent pour les cyberacteurs malveillants et représentent un risque important pour les entreprises fédérales”, a expliqué la CISA jeudi.
Depuis la publication de la directive contraignante BOD 22-01 l’année dernière, la CISA a ajouté plus de 800 failles de sécurité à son catalogue de bogues exploités dans des attaques, tout en exigeant des agences fédérales qu’elles les corrigent selon un calendrier plus serré.