2022 : petite année sur le front des vulnérabilités

Les statistiques du NIST américain sont formelles : 2022 n’était qu’une petite année pour les vulnérabilités. Seulement 13 163 ont été révélées l’an dernier, contre près de 19 000 en 2021.

Parmi ces vulnérabilités, 3 237 présentaient un niveau de sévérité dit critique, contre 3 784 en 2021 et 4381 l’année précédente. Le nombre de vulnérabilités critiques dévoilées en 2022 est désormais le plus faible depuis 2017. Las, cela n’en fournit pas moins d’importantes opportunités aux cybercriminels.

Les vulnérabilités référencées CVE-2022-40684 et CVE-2022-42475, pour les produits Fortinet, sont connues pour être activement exploitées dans le cadre de cyberattaques, à des fins crapuleuses, mais pas exclusivement, comme le relevait récemment Mandiant pour la seconde.

Cela vaut également pour les vulnérabilités référencées CVE-2022-41040 et CVE-2022-41082 pour les serveurs Microsoft Exchange, ou encore les CVE-2022-22954 pour VMware WorkspaceOne, CVE-2022-27925 pour Zimbra, CVE-2022-35914 pour GLPI, CVE-2022-27518 pour Citrix, et CVE-2022-26134 pour Confluence d’Atlassian.

Avec une liste pareille, les opportunités continuent de ne pas manquer pour les cybercriminels et autres assaillants œuvrant pour le compte d’États-nations. D’autant plus que les vulnérabilités plus anciennes continuent de faire des dégâts, faute d’application rapide des correctifs disponibles – et des mesures qui s’imposent lorsqu’elle s’avère tardive.

Dans édition 2022 de son panorama de la cybermenace, l’Agence nationale de la sécurité des systèmes d’information (Anssi) relève ainsi que 6 vulnérabilités de 2021 ont été exploitées dans le cadre d’incidents de cybersécurité lui ayant été rapportés l’an dernier. Sans surprise, les vulnérabilités ProxyLogon et ProxyShell de Microsoft Exchange et Log4Shell figurent en bonne place.