Les pirates sont prompts à exploiter les nouvelles opportunités d'attaque. Le signalement du bogue Log4J en décembre 2021, par exemple, aurait entraîné une hausse de 150 % des activités d'exploitation l'année suivante. Cependant, une analyse des données de détection des menaces de Barracuda montre que les pirates s'appuient largement sur des approches établies de longue date et se concentrent sur des vulnérabilités qui existent souvent depuis des années.
Méthodologie
Le centre d'opérations de sécurité (SOC) accessible 24 heures sur 24 et 7 jours sur 7 de Barracuda, qui fait partie de Barracuda XDR, prend en charge plusieurs systèmes de détection d'intrusion (IDS), y compris l'outil Barracuda IDS et l'intégration avec plusieurs IDS de firewall avancés. L'outil Barracuda IDS comporte des signatures basées sur des règles qui identifient automatiquement les activités suspectes ou malveillantes qui pourraient être légitimes mais qui sont également associées à des malwares connus, à des tentatives de piratage ou à d'autres types de menaces pour la sécurité. Les intégrations IDS du firewall Barracuda offrent un niveau de détection plus approfondi qui identifie les schémas d'attaque connus sur la base de signatures.
Ensemble, ces systèmes de détection ne constituent pas seulement un puissant système d'alerte préventive en cas d'attaque potentielle ; ils révèlent également les vulnérabilités persistantes que les pirates ciblent et les tactiques les plus populaires qu'ils utilisent pour y parvenir.
Principales stratégies malveillantes détectées au début de l'année 2023 par l'intégration IDS du firewall de Barracuda
Objectif de l'attaque : compromettre les systèmes vulnérables et en prendre le contrôle à distance
Une attaque par « Directory traversal » ou « Path traversal »
La signature malveillante la plus répandue détectée par notre intégration Firewall IDS au début de l'année 2023 était une attaque par Directory Traversal, également connue sous le nom de Path Traversal. Cette tactique permet aux pirates d'exploiter un serveur web mal configuré pour accéder à des données auxquelles ils ne devraient pas avoir accès et qui sont stockées en dehors du répertoire principal (racine du site web). Une attaque par Traversal peut parfois permettre à des pirates de télécharger des fichiers malveillants et d'exécuter des requêtes. Cette tactique a été signalée pour la première fois en 2008 et tout serveur HTTP non protégé est vulnérable.
Objectif de l'attaque : compromettre les systèmes vulnérables et en prendre le contrôle à distance
Injection SQL
Vient ensuite, en termes de prévalence, cette stratégie de haute gravité qui permet à un pirate d'interférer avec les requêtes qu'une application adresse à sa base de données, en injectant un code malveillant conçu à cet effet. La technique d'injection de code peut permettre au pirate de lire des données sensibles, de modifier des opérations administratives et d'envoyer des commandes au système d'exploitation du serveur vulnérable. Cette méthode a été signalée pour la première fois en 2003, bien qu'elle soit aujourd'hui plus fréquemment utilisée contre des interfaces fonctionnelles relativement anciennes. En 2022, la CWE l'a classé au troisième rang des menaces les plus graves qui pèsent sur les logiciels.
Apache Tomcat : exécution de code à distance (RCE)
Cette stratégie implique que les pirates tentent d'exploiter une vulnérabilité RCE non corrigée dans Apache Tomcat, qui affecte les produits depuis la version 7, qui a été publiée en 2011. Apache Tomcat est un serveur open-source largement utilisé pour déployer des applications web basées sur Java.
Les vulnérabilités RCE permettent aux pirates de prendre le contrôle d'un système à distance et d'exécuter des commandes pour installer des malwares ou d'autres codes malveillants sur les ordinateurs ou un réseau cible. Les pirates n'ont pas besoin d'accéder physiquement à l'ordinateur. Pour cette raison, les vulnérabilités RCE sont presque toujours considérées comme critiques. Apache Tomcat a connu de nombreuses vulnérabilités de code signalées au fil des ans, avec 20 CVE (Common Vulnerability and Exposures) répertoriés pour le produit avec une gravité de 7,5 ou plus, et de nombreux correctifs logiciels connexes ont été publiés.
PHPUnit : RCE
Cette détection identifie les tentatives d'exploitation d'un bogue RCE contre PHPUnit, un environnement de test pour les applications développées dans le langage de programmation « PHP ». Les applications PHP peuvent se trouver dans des systèmes de gestion de contenu courants tels que WordPress et MailChimp ou dans d'autres modules tiers, de sorte que le champ d'application potentiel d'une faille de sécurité éventuelle est très large. Une attaque réussie permettrait à un pirate d'exécuter un code dans une application PHP compromise et de prendre le contrôle du système dans lequel il est intégré. La vulnérabilité date de 2017.
Injection de code dans l'interface Common Gateway de PHP
Comme indiqué ci-dessus, PHP est un langage de programmation polyvalent généralement utilisé pour le développement web. On estime qu'environ 80 % des pages web dépendent de cadres PHP. Cette stratégie d'attaque, qui date de 2012, cible l'interface CGI (Common Gateway Interface) de PHP. Le CGI est ce que l'on appelle le « logiciel intermédiaire » entre un serveur web et des bases de données et sources d'information externes. Les CGI sont utilisés, par exemple, lorsqu'un client ajoute un produit à son panier d'achat en ligne ou lorsqu'une personne saisit des données dans un formulaire en ligne et appuie sur « envoyer ». Dans chaque cas, les informations sont traitées automatiquement par un script CGI et envoyées au serveur. Si l'installation CGI a été mal configurée, elle est vulnérable à une injection de code malveillant qui permettra à un pirate de prendre le contrôle du système à distance.
Objectif de l'attaque : obtenir des informations sensibles
Accès au fichier par mot de passe du serveur Web
Il s'agit d'une attaque opportuniste où les pirates ciblent des serveurs web potentiellement mal configurés pour tenter d'accéder à des listes d'utilisateurs locaux et à leurs mots de passe, qui devraient être restreints. En cas de succès, les informations d'identification volées peuvent être utilisées pour pénétrer le réseau.
ICMP ou « ping » sweep
Il s'agit d'une technique d'analyse de réseau utilisée à la fois de manière licite et malveillante pour déterminer si une série d'adresses IP est liée à un dispositif actif tel qu'un ordinateur, en envoyant un « ping ». Le sweep peut envoyer un ping sur plusieurs IP et appareils en même temps. Cette tactique est utilisée par les équipes de sécurité pour la surveillance des réseaux, afin d'identifier les adresses IP utilisées ou disponibles, tandis que les pirates peuvent l'utiliser à des fins de reconnaissance et de planification avant de lancer une attaque. Tous les systèmes non protégés connectés à l'internet sont des cibles potentielles et les pirates mettent en œuvre cette technique depuis 2006.
Objectif de l'attaque : perturbation/déni de service
Saturation UDP
Le protocole de données utilisateur (UDP) est un protocole de communication principal utilisé pour envoyer des bits de données sur l'internet, d'une adresse IP à une autre. Ce protocole est utilisé lorsque la vitesse de transfert des données est plus importante que la précision et la fiabilité, par exemple lors de diffusions en direct ou de jeux en ligne. Les vitesses plus élevées sont obtenues en partie grâce à la diminution des contrôles d'erreurs. Une « saturation UDP » se produit lorsque le taux de paquets de données UDP envoyés à une adresse IP, par exemple un port quelconque sur un système cible, dépasse un seuil défini et que le système plante, ce qui entraîne un déni de service (DoS). Tout système non protégé connecté à l'internet et fournissant des services basés sur le protocole UDP représente une cible potentielle.
Principales techniques suspectes détectées au début de l'année 2023 par l'outil IDS de Barracuda
Les détections de Barracuda IDS mettent en évidence les millions d'attaques potentielles ou à un stade précoce qui ciblent les entreprises partout dans le monde, à chaque minute de chaque jour. Toutes les détections ne sont pas forcément malveillantes, certaines signalent simplement une détection susceptible d'enfreindre une politique de sécurité de l'entreprise (voir les mentions « ET POLICY » et « ET INFO »).
Il serait facile de considérer ces détections comme un bruit de fond. Mais cela vaut la peine de se pencher de plus près sur la liste, car elle révèle des méthodes qui, si elles aboutissent, peuvent conduire à un incident beaucoup plus grave.
Par exemple, la détection la plus fréquente de Barracuda IDS entre février et avril 2023 concernait des demandes d'accès à un nom de domaine invalide ou inexistant (« Host Header »). Si le serveur cible fait implicitement confiance ou ne vérifie pas les Host Headers entrants et autorise l'accès, cela pourrait permettre à des pirates d'injecter une charge utile malveillante par le biais d'une injection SQL.
L'activité peer-to-peer (« P2P », la deuxième détection la plus répandue) peut être parfaitement légitime, comme le transfert automatique de mises à jour Windows entre ordinateurs connectés, mais elle peut également être utilisée de manière abusive par les pirates pour amplifier une attaque, telle qu'une attaque DoS, ou comme canal de communication de commande et de contrôle après qu'une cible ait été compromise.
Le nombre de détections a également atteint des sommets pour les attaques entrantes impliquant le protocole SMB (Server Message Block, « SMB2 »), un protocole réseau qui permet aux ordinateurs de partager des fichiers et des matériels tels que des imprimantes et des disques durs externes lorsqu'ils sont connectés au même réseau. Les principales détections de Barracuda IDS pour la période de février à avril 2023 comprennent des demandes de capture et d'ouverture de fichiers exécutables et de fichiers par lot (script de commande automatisé). Le protocole SMB peut être utilisé de manière abusive pour des attaques par force brute, des attaques de l'adversaire du milieu, des saturations de mémoire tampon (saturation de la mémoire), des ransomwares et l'exécution de codes à distance. La tristement célèbre attaque WannaCry a tiré parti des vulnérabilités du SMB.
Un grand nombre des principales menaces détectées par l'outil IDS de Barracuda sont des catalyseurs potentiels d'attaques DoS. Par exemple, comme mentionné ci-dessus, les paquets UDP transmettent des informations à grande vitesse sur l'internet. De très petits paquets de données peuvent accroître le nombre de paquets par seconde, surcharger le matériel de destination et le faire dysfonctionner (« Paquets de données UDP trop petits »). En revanche, si les paquets de données envoyés sont trop volumineux, ils se fragmentent (« FRAG IPv4 Fragmentation overlap »). Un déni de service peut être provoqué si le réseau récepteur ne peut pas réassembler les fragments parce qu'ils se superposent, sont frauduleux, dupliqués, hors séquence, etc.
Les utilitaires de traversée de session pour NAT (STUN) et l'encapsulation générique de routage (GRE), l'utilisation d'un protocole de routage à l'intérieur d'un autre, facilitent également les attaques par déni de service et les botnets.
Conclusion : les risques inhérents aux bruits
Les outils de détection d'intrusion sont de puissants systèmes d'alerte préventive. Nos analyses de Barracuda IDS et des intégrations IDS du firewall révèlent que les vulnérabilités n'ont pas de date limite. Le danger est qu'avec le temps, elles peuvent devenir plus difficiles à localiser et à pallier, réduites à des vulnérabilités profondément ancrées, inconnues et invisibles, intégrées dans un système ou une application développée par un collègue parti il y a des années.
Il est essentiel d'adopter une approche à plusieurs niveaux de détection et de vérification toujours plus approfondie. Cette démarche doit s'inscrire dans un cadre de sécurité global comprenant des technologies de sécurité de nouvelle génération fiables, soutenues par des analyses d'experts pour détecter les risques inconnus et les anomalies qui pourraient autrement passer à travers les mailles du filet, ainsi que pour répondre aux menaces et les minimiser.
Le plus petit signal peut être le signe avant-coureur d'une tempête à venir. Ne négligez pas le bruit, mais ne vous laissez pas submerger non plus. Si vous n'avez pas le temps ou l'expertise nécessaire en interne, un service XDR géré comprenant un SOC peut surveiller chaque parcelle de votre environnement informatique pour vous, toute la journée, tous les jours.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
