Le RSSI de l’Etat vient de publier par le biais du CERT-FR une liste de dix vulnérabilités, particulièrement critiques, découvertes en 2020 ou 2019, et particulièrement marquantes, parce que critiques, exploitées activement et, parfois, affectant des équipements nécessaires au travail à distance.

L’Anssi a sélectionné dix vulnérabilités marquantes, surtout en terme de criticité, repérées l’an dernier, voire en 2019. Car « malgré les publications de plusieurs avis de sécurité en 2019 concernant différents éditeurs de solutions VPN, l’ANSSI a pu constater la présence d’un grand nombre d’équipements vulnérables exposés directement sur internet ». Dix CVE qui touchaient notamment les infrastructures et systèmes de connexion à distance.

A commencer par CVE-2019-11510, une vulnérabilité de certains équipements de Pulse Secure, dont sont VPN SSL Pulse Connect Secure. Cette faille, activement exploitée, permettait à un attaquant de lire des des fichiers arbitraires à distance via le protocole HTTPS en créant une URI particulière. Avec pour résultat le vol d’authentifiants [...]