La Zero Day Initiative a publié plus de 1 2023 rapports de vulnérabilité au premier semestre 1.000. Parmi les vulnérabilités figurent les zero-day critiques de Microsoft. Initiateur de la Zero Day Initiative Trend Micro met en garde contre de plus en plus de correctifs défectueux ou incomplets.
Trend Micro, l'un des principaux fournisseurs mondiaux de solutions de cybersécurité, annonce que sa Zero Day Initiative (ZDI) a déjà publié cette année plus de 1.000 XNUMX avis sur les vulnérabilités individuelles des produits informatiques. Dans ce contexte, la société avertit que des correctifs défectueux ou incomplets sont publiés de plus en plus fréquemment, ou que les fabricants concernés les déploient secrètement.
Les correctifs silencieux masquent les vulnérabilités
Trend Micro préconise la fin des « correctifs silencieux », une pratique qui retarde ou minimise la divulgation et la documentation des vulnérabilités et des correctifs. En tant que l'un des plus grands obstacles à la lutte contre la cybercriminalité, cette méthode est particulièrement courante chez les grands fournisseurs et les fournisseurs de cloud.
« L'initiative Zero Day a été fondée pour fermer les vulnérabilités avant qu'elles ne soient exploitées par des cybercriminels. La nécessité de telles mesures est encore soulignée dans l'Union européenne par la nouvelle directive NIS2 », explique Richard Werner, Business Consultant chez Trend Micro. « Cependant, nous constatons une tendance inquiétante au manque de transparence dans la divulgation des vulnérabilités associées aux correctifs des fournisseurs. Cela constitue une menace pour la sécurité informatique du monde numérique, car cela prive les clients de la possibilité de prendre leurs propres mesures supplémentaires. »
De nombreux fournisseurs de cloud s'appuient sur des correctifs silencieux
Lors de la conférence sur la sécurité Black Hat USA 2023, des représentants de Trend Research ont montré que les correctifs silencieux sont particulièrement courants chez les fournisseurs de cloud. De plus en plus, ceux-ci s'abstiennent d'attribuer un identifiant CVE (Common Vulnerabilities and Exposures), qui permet une documentation traçable, et publient plutôt des correctifs dans des processus non publics. Le manque de transparence ou de numéros de version pour les services cloud entrave l'évaluation des risques et prive la communauté de la sécurité d'informations précieuses pour améliorer la sécurité dans l'ensemble de l'écosystème.
Dès l'année dernière, Trend Micro a mis en garde contre un nombre croissant de correctifs incomplets ou incorrects et une réticence croissante de la part des fournisseurs à fournir des informations fiables sur les correctifs en langage clair. Entre-temps, cette tendance s'est intensifiée, certaines entreprises négligeant complètement les correctifs. En conséquence, leurs clients et des industries entières sont exposés à des risques évitables et croissants. Par conséquent, il est urgent d'agir pour hiérarchiser les correctifs, corriger les vulnérabilités et encourager la collaboration entre les chercheurs, les fournisseurs de cybersécurité et les fournisseurs de services cloud afin de renforcer les services basés sur le cloud et de protéger les utilisateurs contre les risques potentiels.
Plus de 1.000 2023 vulnérabilités dans la liste XNUMX
Avec le programme ZDI, Trend Micro s'engage à corriger de manière transparente les vulnérabilités et à améliorer la sécurité dans l'ensemble du secteur. Dans le cadre de cet engagement, la Zero Day Initiative a récemment publié des notifications de plusieurs vulnérabilités zero-day. Un La liste complète des avis de vulnérabilité publiés par Trend Micro Zero Day Initiative (ZDI) est disponible en anglais sur le site de l'initiative. Voici un extrait des vulnérabilités avec une valeur CVSS de 9.9 ou 9.8. La liste sur le site Web Zero Day Initiative répertorie plus de 1.000 9.1 autres vulnérabilités avec une valeur CVSS de 2.5 à XNUMX.
Extrait de 39 vulnérabilités avec CVSS 9.9 et 9.8
| ID ZDI | FOURNISSEUR(S) CONCERNÉ(S) | CVE | CVSS v3.0 |
| ZDI-23-1044 | Microsoft | 9.9 | |
| ZDI-23-055 | VMware | CVE-2022-31702 | 9.8 |
| ZDI-23-093 | Cacti | CVE-2022-46169 | 9.8 |
| ZDI-23-094 | nettalk | CVE-2022-43634 | 9.8 |
| ZDI-23-115 | VMware | CVE-2022-31706 | 9.8 |
| ZDI-23-118 | Oracle | CVE-2023-21838 | 9.8 |
| ZDI-23-168 | SolarWinds | CVE-2022-47506 | 9.8 |
| ZDI-23-175 | Oracle | CVE-2023-21890 | 9.8 |
| ZDI-23-228 | Ivanti | CVE-2022-44574 | 9.8 |
| ZDI-23-233 | Papier découpé | CVE-2023-27350 | 9.8 |
| ZDI-23-444 | Schneider Electric | CVE-2023-29411 | 9.8 |
| ZDI-23-445 | Schneider Electric | CVE-2023-29412 | 9.8 |
| ZDI-23-452 | TP-Link | CVE-2023-27359 | 9.8 |
| ZDI-23-482 | VMware | CVE-2023-20864 | 9.8 |
| ZDI-23-490 | CléSight | CVE-2023-1967 | 9.8 |
| ZDI-23-587 | Trend Micro | CVE-2023-32523 | 9.8 |
| ZDI-23-588 | Trend Micro | CVE-2023-32524 | 9.8 |
| ZDI-23-636 | Schneider Electric | CVE-2022-42970 | 9.8 |
| ZDI-23-637 | Schneider Electric | CVE-2022-42971 | 9.8 |
| ZDI-23-672 | Delta Electronics | CVE-2023-1133 | 9.8 |
| ZDI-23-674 | Delta Electronics | CVE-2023-1140 | 9.8 |
| ZDI-23-679 | Delta Electronics | CVE-2023-1136 | 9.8 |
| ZDI-23-680 | Delta Electronics | CVE-2023-1139 | 9.8 |
| ZDI-23-681 | Delta Electronics | CVE-2023-1145 | 9.8 |
| ZDI-23-683 | Delta Electronics | CVE-2023-1133 | 9.8 |
| ZDI-23-687 | Canonique | 9.8 | |
| ZDI-23-690 | Canonique | 9.8 | |
| ZDI-23-702 | Linux/Unix | CVE-2023-32254 | 9.8 |
| ZDI-23-714 | D-Link | CVE-2023-32169 | 9.8 |
| ZDI-23-716 | D-Link | CVE-2023-32165 | 9.8 |
| ZDI-23-720 | Moxa | CVE-2023-33236 | 9.8 |
| ZDI-23-840 | VMware | CVE-2023-20887 | 9.8 |
| ZDI-23-882 | Microsoft | CVE-2023-29357 | 9.8 |
| ZDI-23-897 | Logiciel de progression | CVE-2023-36934 | 9.8 |
| ZDI-23-906 | Delta Electronics | CVE-2023-34347 | 9.8 |
| ZDI-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
| ZDI-23-1025 | Triangle MicroWorks | CVE-2023-39457 | 9.8 |
| ZDI-23-1046 | Inductive Automation | CVE-2023-39476 | 9.8 |
| ZDI-23-1047 | Inductive Automation | CVE-2023-39475 | 9.8 |
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.