Les vulnérabilités logicielles non corrigées

Pleins feux sur les menaces : les vulnérabilités logicielles non corrigées

Version imprimable, PDF et e-mail

Les vulnérabilités logicielles sont de véritables poules aux œufs d'or pour les cybercriminels. Le nombre de systèmes qui demeurent ouverts et exposés aux attaques sur Internet alors même que ces vulnérabilités ont depuis longtemps été identifiées est alarmant.

Les chercheurs Barracuda ont récemment analysé les données des attaques bloquées par les systèmes de l'entreprise au cours des deux derniers mois. Ils ont ainsi enregistré plusieurs centaines de milliers d'analyses et d'attaques automatisées chaque jour, avec un pic avoisinant parfois les millions, ainsi que des milliers d'analyses quotidiennes visant à détecter les vulnérabilités des récents correctifs Microsoft et VMware.

Voici une analyse approfondie des tendances identifiées par nos chercheurs, accompagnée des mesures permettant de mieux vous protéger contre ces types d'attaques.

Menaces particulièrement importantes

Vulnérabilités logicielles non corrigées — La vulnérabilité menaçant Microsoft, aussi connue sous le nom de Hafnium, a été dévoilée en mars 2021. CVE-2021-26855 est une vulnérabilité côté serveur de type SSRF affectant Exchange, qui permet au pirate d'envoyer des requêtes HTTP arbitraires et de s'authentifier en tant que serveur Exchange. D'après les informations diffusées publiquement, l'entrée CVE-2021-26855 est exploitée par les hackers pour identifier les systèmes vulnérables. Elle peut être utilisée conjointement avec d'autres vulnérabilités dans le but d'obtenir un accès et d'effectuer d'autres opérations, notamment le déploiement de Web Shells dans les systèmes piratés.

Cette annonce a donné lieu, en mars, à une augmentation des tentatives d'attaques ciblant ces vulnérabilités. De telles analyses malveillantes sont aujourd'hui encore régulièrement enregistrées par nos capteurs et déploiements à l'échelle mondiale. Celles-ci connaissent un pic de temps à autre, avant de ralentir de nouveau.

Évolution des tentatives d'attaques Hafnium

Le 24 février 2021, VMware a publié un avis concernant les vulnérabilités CVE-2021- 21972 et CVE-2021-21973. Nous avons également observé des tentatives d'attaques régulières pour la vulnérabilité CVE-2021-21972, avec un certain ralentissement des analyses. Cela étant dit, leur nombre devrait lui aussi connaître des hausses ponctuelles, les pirates effectuant une rotation dans la liste des vulnérabilités à fort impact connues.

VMware CVE-2021-21972

Ces deux points de données montrent bien que les vulnérabilités logicielles continuent d'être exploitées longtemps après la publication de correctifs, d'autant plus s'il s'agit de vulnérabilités majeures. Les utilisateurs n'ont pas toujours le temps d'installer tous les correctifs proposés ni la bande passante nécessaire, et les pirates en profitent bien.

Les détails

Cette analyse nous a également amenés à identifier certaines tendances dans ces attaques. Il y a quelque temps, nous avons constaté que les bots suivent le rythme d'une journée de travail pour lancer leurs attaques. Aujourd'hui, nous savons que les pirates prennent eux aussi leur week-end, même lorsqu'il s'agit de lancer des tâches automatisées. La raison la plus probable : il est plus facile d'évoluer masqué dans la masse en semaine plutôt que de déclencher des alarmes en accédant à des systèmes moins utilisés le week-end.

Attaques par jour de la semaine

Nous avons également examiné la manière dont ces attaques correspondaient aux principaux types identifiés, notamment les tentatives de reconnaissance/fuzzing ou encore les attaques visant des vulnérabilités au sein d'applications (WordPress en faisant le plus fréquemment les frais). Nous observons habituellement un grand nombre d'attaques par injection SQL, suivies des attaques par injection de commandes, puis de tout autre type d'attaque. Cette fois-ci, c'est pourtant l'injection de commandes qui est arrivée largement en tête, ciblant majoritairement Windows. Ces attaques ont atteint un pic sur deux semaines en juin avant de ralentir pour reprendre leur rythme habituel. Les autres types d'attaques n'ont, pour ainsi dire, pas dévié de leurs niveaux attendus et aucun mode d'attaque spécifique n'est à souligner ici.

Type d'attaque

Enfin, nous avons analysé les niveaux de trafic HTTPS ainsi que les versions des protocoles utilisés. Il est essentiel d'activer le protocole HTTPS et d'utiliser les dernières versions disponibles. Nos déploiements Barracuda WAF-as-a-Service permettent d'activer facilement le protocole HTTPS (avec l'intégration Let's Encrypt) et de configurer en un instant des protocoles et services de sécurité.

En ce qui concerne le trafic depuis nos déploiements à l'échelle mondiale, c'est le récent protocole TLS1.3 qui arrive en tête, suivi du TLS1.2. Il s'agit des protocoles les plus sécurités. C'est donc une bonne nouvelle. Nous avons également pu constater que certains déploiements utilisent encore un protocole HTTP simple, mais le plus intéressant est que le volume de ce trafic HTTP simple est supérieur à celui des protocoles SSL/TLS, plus anciens et plus vulnérables.

Protocoles de trafic

Se protéger contre les attaques visant des vulnérabilités logicielles

Lorsqu'il est question de se protéger contre les attaques automatisées visant des vulnérabilités logicielles connues, les défenseurs peuvent parfois se sentir dépassés en raison du nombre de solutions requises. La bonne nouvelle, c'est que ces solutions se regroupent en solutions WAF/WAF-as-a-Service, également connues sous le nom de services cloud de protection des applications Web et des API (WAAP).

Comme l'explique Gartner dans son rapport WAF Magic Quadrant 2020 :

« Gartner définit les services WAAP comme l'évolution des services WAF dans le cloud. Les services WAAP combinent le déploiement de WAF dans le cloud en tant que service, l'atténuation de bots, la protection DDoS et la sécurité des API, avec un modèle d'abonnement. »

Les entreprises devraient rechercher une solution WAF-as-a-Service ou WAAP comprenant les fonctions de neutralisation des bots, de protection DDoS, de sécurité des API et de protection contre le credential stuffing, et s'assurer qu'une telle solution est correctement configurée.

Essayez WAF-as-a-Service via Azure Marketplace

Remonter en haut de page
Tweeter
Partager
Partager