“Bien que l’on ne sache pas précisément comment ces vulnérabilités récemment ajoutées au catalogue de la CISA sont exploitées, cela met en évidence le succès fréquent avec lequel les cybercriminels parviennent à cibler des vulnérabilités connues, en particulier celles dont le code d’exploitation est accessible au public, comme l’indique notre rapport Threat Landscape Report 2022.

Les cybercriminels n’ont pas besoin de trouver ou de développer des vulnérabilités zero day, ce qui leur permet de réaliser des économies, d’autant plus qu’il est facile de trouver des codes d’exploitation de type proof-of-concept pour toute une série de vulnérabilités. Dans le cadre de Log4Shell, une faille critique dans la bibliothèque de journalisation Log4j 2, des groupes de ransomware et des acteurs malveillants d’État-nation associés à la République populaire de Chine et au Corps des gardiens de la révolution islamique d’Iran (IRGC) ciblaient une partie de logiciel open source utilisé dans un certain nombre d’applications. Cela souligne les défis introduits par l’utilisation de bibliothèques et de logiciels open source et les risques qui en résultent pour la chaîne d’approvisionnement. Aujourd’hui plus que jamais, il est vital pour les organisations d’avoir une visibilité sur leur surface d’attaque afin de disposer du contexte nécessaire pour réduire leur risque cyber.”