Un an plus tard, CISA réalise qu’une vulnérabilité démentie est en fait une arnaque et la supprime de sa liste de correctifs obligatoires.

Une vulnérabilité de sécurité précédemment ajoutée au catalogue de vulnérabilités connues et exploitées de CISA (KEV), qui a été reconnue par les autorités de numérotation CVE, et incluse dans des rapports de menace fiables, est maintenant formellement rejetée par les organisations de l’infosec. CISA a retiré CVE-2022-28958 de son KEV le 1er décembre, deux jours après que la base de données nationale de vulnérabilités (NVD) ait annulé son statut de «vulnérabilité» suite à une évaluation de plusieurs mois. L’«incident» était censé être une grave faille d’exécution de code à distance (RCE) touchant un routeur D-Link obsolète (DIR-816L), portant un score de sévérité presque maximal de 9,8. Il n’a en réalité eu aucun impact sur les systèmes qu’il visait. Le PDG de VulnCheck, Jacob Baines, l’a qualifié de «fausse vulnérabilité» en décembre 2022, deux mois après que CISA l’ait ajoutée au KEV, après avoir examiné le code de preuve de concept (PoC) fourni par le rapporteur original. Baines a constaté que le code PoC comportait «une erreur flagrante», à savoir qu’il envoyait la requête malveillante à une mauvaise extrémité, ce qui signifiait que la vulnérabilité n’avait pas atteint RCE comme précédemment cru.

Share the Post: