Alert identifie les 15 vulnérabilités les plus courantes

L’une des choses les plus frustrantes dans la cybersécurité est que la plupart des vulnérabilités exploitées par les cybercriminels sont bien documentées. Une alerte commune qui a été partagée par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency américaine (NSA), le Federal Bureau of Investigation (FBI), l'Australian Cyber Security Centre (ACSC), le Canadian Centre for Cyber Security (CCCS), le New Zealand National Cyber Security Centre (NZ NCSC) et le National Cyber Security Centre (NCSC-UK) du Royaume-Uni va même jusqu'à identifier les 15 principales vulnérabilités et expositions courantes (ou CVE, de l'anglais « Common Vulnerabilities and Exposures ») exploitées régulièrement en 2021. En voici quelques-unes :

CVE-2021-44228. Cette vulnérabilité, connue sous le nom de Log4Shell, affecte la bibliothèque Log4j d'Apache, un framework de journalisation open source. Un acteur peut exploiter cette vulnérabilité en envoyant à un système vulnérable une requête spécialement conçue pour provoquer l’exécution de code arbitraire par ce système. Cette requête permet à un cyberacteur de prendre le contrôle total du système.

CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, CVE-2021-27065. Ces vulnérabilités, connues sous le nom de ProxyLogon, affectent les serveurs de messagerie Microsoft Exchange. L’exploitation de ces vulnérabilités de manière combinée, appelée chaînage de vulnérabilités, permet à un utilisateur non authentifié d’exécuter un code arbitraire pour obtenir un accès permanent aux fichiers et aux boîtes de messagerie présents sur les serveurs, en plus des informations d’identification qui y sont stockées.

CVE-2021-34523, CVE-2021-34473, CVE-2021-31207. Ces vulnérabilités, connues sous le nom de ProxyShell, affectent également les serveurs de messagerie Microsoft Exchange. Ici aussi, l'exploitation de ces vulnérabilités permet à un cybercriminel d'exécuter un code arbitraire. Ces vulnérabilités se trouvent dans Microsoft Client Access Service (CAS), qui s'exécute généralement sur le port 443 de la plateforme Microsoft Internet Information Services (IIS).

CVE-2021-26084. Cette vulnérabilité affecte les plateformes Atlassian Confluence Server et Data Center. Elle permet elle aussi à un acteur non authentifié d'exécuter un code arbitraire.

L'alerte note que trois des 15 principales vulnérabilités exploitées en 2021 ont également été exploitées de manière régulière en 2020. De toute évidence, de nombreuses entreprises négligent encore d'installer les correctifs de leurs logiciels dès leur sortie. Un rapport récent publié par BeyondTrust, un fournisseur d’une plate-forme de gestion des correctifs, note qu’un tiers des violations sont le résultat d’une vulnérabilité connue qui n’a pas été corrigée.

La difficulté est qu’une bonne gestion des correctifs nécessite beaucoup de temps et d’efforts. Les équipes informatiques doivent en permanence se tenir informées de la publication de nouveaux correctifs, trouver un développeur pour installer le correctif, le tester, le documenter, puis générer un rapport. Il n’est pas rare qu’un correctif cause des dysfonctionnements dans une ou plusieurs applications compte tenu de toutes les dépendances qui existent entre tous les composants logiciels qui composent un environnement informatique. Lorsqu’une vulnérabilité est révélée, la recherche de toutes les instances peut prendre des mois. De nombreuses équipes informatiques travaillent toujours à la correction de toutes les instances de l’outil de gestion open source Log4j pour les applications Java, quatre mois après la découverte de la vulnérabilité zero-day Log4Shell.

La seule chose encore plus fastidieuse que l’application de correctifs est bien sûr le travail de nettoyage à effectuer après la détection d'une violation. La seule vraie différence est l'extrême minutie dont il faut inévitablement faire preuve après une violation. On dit qu'il vaut mieux prévenir que guérir. Cela n'a jamais été aussi vrai que dans les environnements informatiques où la simple inertie est trop souvent le pire des ennemis.