Qu’elles soient anciennes ou récentes, quelles sont les vulnérabilités que vous devrez surveiller cette année ? IBM X-Force vous livre ses éléments de réponse à travers ce guide des principales menaces de cybersécurité de 2020.
Recherche et l’exploitation des vulnérabilités
Selon l’indice X-Force Threat Intelligence 2021, la recherche et l’exploitation des vulnérabilités sont devenues le principal vecteur d’infection de 2020. Autrement dit, les attaquants constatent que la recherche de problèmes non corrigés ou de vulnérabilités et d’expositions communes (CVE) sur les réseaux et l’exploitation de ces vulnérabilités est devenue la méthode la plus courante. Ce serait également la plus efficace pour obtenir un premier accès à un réseau.
Cette méthode a dépassé le phishing et semble avoir largement remplacé le vol d’informations d’identification, connu pour avoir été la méthode la plus fiable pour les attaquants pour infiltrer un réseau.
L’état des vulnérabilités actuelles
Le CVE permet de recenser toutes les failles et les menaces liées à la sécurité des systèmes d’information avec l’attribution d’une identité propre pour chaque faille. Le CVE-2019-19871 par exemple est une vulnérabilité dans Citrix Application Delivery Controller et Gateway. C’était de loin la vulnérabilité la plus exploitée en 2020, selon les données de X-Force.
Malgré la prédominance de cette vulnérabilité relativement récente, la liste des 10 vulnérabilités les plus exploitées de 2020 était dominée par des problèmes de sécurité plus anciens. Seulement deux failles du top 10 ont été découvertes en 2020. Le nombre de nouvelles vulnérabilités identifiées chaque année n’a cessé de croître depuis 1988, avec 17 992 nouvelles vulnérabilités identifiées en 2020 et un total de 180 171 vulnérabilités identifiées jusqu’à la fin de 2020.
Puisque les vulnérabilités de cybersécurité des années précédentes continuent de constituer une menace pour les organisations qui ne les ont pas encore corrigées, cet effet cumulatif des vulnérabilités augmente chaque année les opportunités d’attaques pour hackers. Selon les experts en cybersécurité, il est important d’identifier et de corriger rapidement les vulnérabilités. Ces passerelles vers un réseau doivent être fermées rapidement, méthodiquement et efficacement pour empêcher les pirates de garder cet avantage qu’ils semblent avoir acquis tout au long de 2020.
Vulnérabilités persistantes sans correction
CVE-2006-1547 et CVE-2012-0391, des vulnérabilités Apache Struts, sont deux exemples de problèmes persistants qui ont affecté les organisations en 2020. Il s’agit des troisième et quatrième sur la liste des vulnérabilités les plus exploitées en 2020. Ces vulnérabilités sont respectivement connues depuis 15 et 9 ans et que des remèdes sont disponibles depuis longtemps.
Néanmoins, elles restent trop souvent non corrigées. Aussi les attaquants ne manquent pas de tenter de les exploiter. Le nombre de nouvelles vulnérabilités continue d’augmenter chaque année et certaines anciennes vulnérabilités restent des points d’entrée viables, augmentant les options d’attaque de façon exponentielle.
Top 10 des CVE de 2020
IBM Security X-Force a classé le top 10 des CVE de 2020 en fonction de la fréquence à laquelle les acteurs de la menace les ont exploités ou ont tenté de les exploiter. Le classement est basé sur les données IBM X-Force Incident Response (IR) et IBM Managed Security Services (MSS) pour 2020. Les résultats de l’étude révèlent que les attaquants se sont concentrés sur les applications d’entreprise courantes et les frameworks open source que de nombreuses sociétés utilisent dans leurs réseaux.
Le top 10 :
- CVE-2019-19871: Citrix Application Delivery Controller (ADC)
- CVE-2018-20062: Aucun Exécution de code à distance CMS ThinkPHP
- CVE-2006-1547: ActionForm dans Apache Software Foundation (SAF) Struts
- CVE-2012-0391: composant ExceptionDelegator dans Apache Struts
- CVE-2014-6271: Injection de commandes GNU Bash
- CVE-2019-0708: «Bluekeep» Microsoft Remote Desktop Services Remote Code Execution
- CVE-2020-8515: injection de commande Draytek Vigor
- CVE-2018-13382 et CVE-2018-13379: autorisation incorrecte et traversée de chemin dans Fortinet FortiOS
- CVE-2018-11776: Exécution de code à distance Apache Struts
- CVE-2020-5722: HTTP: Injection SQL Grandstream UCM6200
Le top 3 des vulnérabilités de 2020 en détail
1. CVE-2019-19871
Ce CVE, divulgué en décembre 2019, s’applique à Citrix ADC, Citrix Gateway et NetScaler Gateway. La vulnérabilité permet à un attaquant d’exécuter du code arbitraire sur un serveur Citrix ou de télécharger des charges utiles supplémentaires, telles que des portes dérobées type cheval de Troie permettant l’exécution de commandes et le forçage des mots de passe.
Cette vulnérabilité est apparue à plusieurs reprises dans les engagements de réponse aux incidents d’IBM, notamment au cours du premier semestre 2020. En fait, elle représentait à elle seule 25% de tous les compromis initiaux que X-Force a vus au premier trimestre 2020. Elle apparaît aussi dans 59% de l’ensemble des attaques X-Force corrigées en janvier 2020.
En fait, les attaquants l’ont exploitée 15 fois plus que tout autre utilisé dans les engagements de réponse aux incidents X-Force. Par ailleurs, les services de sécurité d’IBM ont fréquemment observé des alertes montrant que les attaquants tentaient d’exploiter cette vulnérabilité de cybersécurité.
2. CVE-2018-20062
Le CVE-2018-20062 permet aux attaquants d’exécuter du code PHP arbitraire. Les analystes de X-Force ont observé qu’il était largement utilisé pour cibler les appareils IoT. Cela coïncide avec une augmentation des attaques contre l’IoT en 2020, comme le révèlent les données du réseau IBM. L’exploitation de CVE-2018-20062 a été liée au déploiement d’une grande variété de logiciels malveillants, y compris la porte dérobée SpeakUp, le botnet Mirai et diverses attaques de crypto-monnaies.
ThinkPHP est un framework PHP open-source. Et bien que cette vulnérabilité ait été corrigée le 8 décembre 2018 avec les versions 5.0.23 et 5.1.31 de ThinkPHP, une autre version a été publiée le 11 décembre 2018 et continue d’attirer les attaquants qui tentent d’en tirer parti. La difficulté d’identifier et de corriger les appareils IoT peut contribuer à leur vulnérabilité.
3. CVE-2006-1547
Cette vulnérabilité, découverte il y a 15 ans, permet à un attaquant de provoquer un déni de service, y compris un crash de l’application web Struts ou même l’impossibilité d’accéder à des informations confidentielles. Apache Struts est un framework open source couramment utilisé pour créer des applications web Java. Les attaquants ont reconnu les opportunités offertes par l’utilisation généralisée de ce framework et ont capitalisé sur plusieurs vulnérabilités Apache Struts.
L’utilisation accrue de cette vulnérabilité datée met en évidence l’importance d’analyser les applications web à la recherche de vulnérabilités non corrigées et de prêter une attention particulière aux anciennes applications web construites avec des cadres obsolètes.
Qu’en est-il des vulnérabilités inconnues ?
Les vulnérabilités qui n’ont pas encore été rendues publiques et potentiellement exploitables grâce à des exploits zero-day continuent de constituer une menace pour les réseaux d’entreprise. Les tests de pénétration ont le potentiel de découvrir des vulnérabilités encore inconnues. Pourtant, dans l’ensemble, X-Force observe que les vulnérabilités de cybersécurité connues avec des options d’atténuation connues, continuent de représenter la menace la plus importante pour les organisations, par rapport aux exploits zero-day.
Bien que les entreprises ne soient pas toujours en mesure de contrôler l’exploitation de vulnérabilités inconnues sur leur réseau, elles peuvent prendre des mesures structurées contre les vulnérabilités connues. Les services de gestion des vulnérabilités qui identifient, hiérarchisent et corrigent les vulnérabilités existantes peuvent aider les organisations à améliorer la sécurité de leurs actifs les plus critiques.
- Partager l'article :