Barracuda full logo

Threat Spotlight : comment les pirates ciblent vos applications Web en ce moment

Thèmes:
7 févr. 2024
|
Tushar Richabadas
Le nombre d’attaques qui ciblent les applications web et les interfaces de programmation d’applications (API) a considérablement augmenté. Barracuda a neutralisé plus de 18 milliards d’attaques contre des applications en 2023, dont 1,716 milliard rien qu’en décembre.  
Les attaques visant les applications Web et les API ont considérablement augmenté

Les applications web sont des programmes informatiques accessibles sur un navigateur web. Microsoft 365 et Google Docs/Gmail en sont de bons exemples. Les applications web offrent de nombreux avantages opérationnels, tels que la vitesse, la compatibilité et l’évolutivité.

Elles constituent également une cible privilégiée des cyberattaques. Selon le dernier DBIR, les applications web ont été le principal vecteur d’attaque en 2023, à l’origine de 80 % des incidents et de 60 % des violations.

Pourquoi les applications Web sont une cible privilégiée des attaques

Il y a deux raisons principales. Premièrement, de nombreuses applications web comportent des vulnérabilités ou des erreurs de configuration. Deuxièmement, beaucoup contiennent des informations très précieuses, telles que des données personnelles et financières, et une violation réussie offre aux pirates un accès direct à ces données. Une étude de Barracuda montre que 40 % des professionnels de l’informatique impliqués dans le piratage éthique estiment que les attaques d’applications web sont parmi les plus rentables pour les cybercriminels, et 55 % font la même déclaration pour les API.

Principales attaques OWASP ciblant les applications Web

Pour comprendre où les pirates concentrent leur temps et leurs ressources, nous nous sommes plongés dans les incidents d’applications web détectés et neutralisés par Barracuda Application Security au cours du mois de décembre 2023.

Nous avons plus particulièrement étudié les attaques identifiées par l’Open Worldwide Application Security Project (OWASP).

principales attaques contre les applications Web

Voici ce que nous avons trouvé :

  • Au total, 30 % des attaques contre des applications web ciblaient des erreurs de configuration de sécurité, comme les erreurs de codage et d’implémentation.
  • 21 % utilisaient l’injection de code, bien au-delà des simples injections SQL (généralement conçues pour voler, détruire ou manipuler des données). Les attaques par Log4Shell et injection LDAP étaient également fréquentes. L’injection LDAP est utilisée par les organisations pour la gestion des privilèges, la gestion des ressources et le contrôle des accès, par exemple pour permettre l’authentification unique (SSO) pour les applications.

La liste OWASP Top 10 est mise à jour chaque année.  À noter que quelques changements ont récemment été apportés à cette liste. qui concernent principalement l’intégration de tactiques d’attaque de « haut niveau » dans d’autres catégories. Les exemples incluent le cross-site scripting (XSS) et la falsification de requêtes intersites (CSRF), qui permettent aux pirates de voler des données ou d’inciter la victime à effectuer une action non intentionnelle.  Ces deux tactiques sont encore fréquemment utilisées. Le XSS, en particulier, est largement employé par les chasseurs de bugs débutants ou par les hackers qui tentent de s’introduire dans les réseaux.

Attention aux bots

Les données de détection anti-botnet de Barracuda montrent que la majorité des attaques par bots (53 %) ciblant les applications web en décembre 2023 étaient des attaques volumétriques par déni de service distribué (DDoS).

Les attaques DDoS volumétriques sont généralement lancées par de vastes botnets d’appareils connectés (IoT). Elles emploient des techniques de force brute qui inondent la cible avec des paquets de données pour consommer la bande passante et les ressources. À noter que ces attaques peuvent être utilisées comme couverture pour une offensive plus sévère et ciblée contre le réseau. 

principaux types d’attaques de bots

Les données montrent également qu’environ un tiers (34 %) des attaques par bots étaient des attaques DDoS ciblant des applications spécifiques, et que 5 % étaient des tentatives de piratage de compte basées sur des bots.

Les attaques par piratage de compte sont détectées grâce au machine learning et à la protection des comptes à privilèges de Barracuda. Cette fonctionnalité examine les modèles de connexion pour détecter les anomalies et avertir les administrateurs de sécurité de toute activité inhabituelle pouvant constituer une attaque. Les incidents peuvent ainsi être bloqués plus tôt.

Composants d’applications vulnérables et obsolètes

Les composants vulnérables et obsolètes des applications sont des cadeaux que l’on continue d’offrir aux pirates. L’ensemble de vulnérabilités ProxyShell de 2021 a été continuellement exploité, conduisant à un certain nombre de violations très médiatisées qui utilisaient notamment des ransomwares.

Des vulnérabilités plus anciennes et moins connues existent et sont la cible des acteurs de menaces de temps à autre, comme le malware Androxgh0st actuel, pour lequel la Cybersecurity and Infrastructure Security Agency (CISA) a émis un avertissement le 16 janvier 2024.

Les vulnérabilités et les expositions courantes (CVE) suivantes ont été détectées en nombre important dans les installations de Barracuda au cours des derniers mois.  Les graphiques montrent que les tentatives de scan ont débuté à peu près au même moment pour toutes ces vulnérabilités, avec des pics similaires, ce qui suggère qu’une campagne d’attaque unique ou coordonnée est en cours.

Tentatives de scan CVE-2017-9841
CVE-2017-9814 est une vulnérabilité de sévérité élevée (7.5) qui permet aux pirates de lancer une attaque par déni de service.  La vulnérabilité a été modifiée en 2023.
Tentatives de scan CVE-2018-15133
CVE-2018-151333 est une vulnérabilité d’exécution de code à distance de sévérité élevée (8.1) dans le framework Laravel, qui a également été récemment modifiée.
Tentatives de scan CVE-2021-41773
CVE-2021-41773 est une vulnérabilité de serveur HTTP Apache de sévérité élevée (7.5) qui a également été modifiée en 2023.  
Activités de scan pour AWS

L’origine des scans

Voici les pays d’où proviennent les scans de ces vulnérabilités. 

Origines des attaques par IP

Il est intéressant de voir le nombre légèrement plus élevé d’adresses IP bloquées sur Tor, ainsi que les numéros américains. La forte proportion de scans émanant des États-Unis reflète probablement le fait qu’un grand nombre d’attaques proviennent de serveurs publics basés aux États-Unis.

Il est également intéressant de voir les changements régionaux au fil du temps.  Au début du mois de décembre, Tor figurait parmi les 5 premières « régions », mais il a disparu de la liste au cours du mois, probablement en raison de la fréquence des blocages complets de Tor.

Filtrer le bruit

Notre analyse des journaux a révélé la proportion de scans qui provenaient de pirates par rapport au bruit de fond.

Attaques ciblées et bruit de fond

Dans ce cas, le bruit de fond correspond à une analyse relativement peu offensive effectuée par divers CERT, Shodan, etc., tandis que le trafic d’attaque représente des pirates – automatisés ou non – qui tentent de mener de véritables offensives. Dans le cas de ces trois vulnérabilités, le ratio est beaucoup plus proche du trafic d’attaque valide que du scan.

Sécuriser vos applications

Comme mentionné ci-dessus, les applications web et les API sont des vecteurs d’attaque lucratifs pour les cybercriminels – et elles font l’objet d’attaques de plus en plus nombreuses.

Les défenseurs ont du mal à faire face au nombre croissant de vulnérabilités. Ils sont confrontés à la fois à des attaques zero-day et à des vulnérabilités plus anciennes. La chaîne d’approvisionnement logicielle des applications critiques peut aussi présenter des vulnérabilités, comme le montre la faille Log4Shell.

Les pirates ciblent souvent d’anciennes vulnérabilités que les équipes de sécurité ont oubliées pour tenter de pirater une application négligée et non corrigée, puis de se propager dans le réseau.

Comment Barracuda peut vous aider

Considérez la protection des applications comme un « oignon » défensif, constitué de plusieurs couches pour détecter un incident et l’empêcher de s’aggraver. Barracuda Application Protection couvre plusieurs parties de cette stratégie défensive, offrant une protection des applications web et des API, une protection DDoS, une protection contre les bots, y compris contre le piratage de compte, et bien d’autres défenses. Cliquez ici pour bénéficier d’un essai gratuit de 30 jours. Vous pouvez également programmer une démo ici.

e-book : Le nouvel ABC de la sécurité des applications
Tushar Richabadas

Tushar Richabadas est Senior Product Marketing Manager, Applications and Cloud Security chez Barracuda. Auparavant, il était responsable des produits Web Application Firewall et Load Balancer ADC de Barracuda, et son travail portait plus particulièrement sur le cloud et l'automatisation. Tushar possède une expérience très variée, allant de la gestion des équipes chargées de tester les produits de mise en réseau, à la gestion du marketing technique chez HCL-Cisco. Il suit de près l'évolution rapide de la sécurité numérique et a à cœur de simplifier les choses pour tous dans ce domaine.

Connectez-vous avec lui sur LinkedIn.

Billets associés :
System shock: Storm-0501 ransomware shifts into the cloud
System shock: Storm-0501 ransomware shifts into the cloud
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
 Pourquoi les auteurs d’attaques par ransomware reviennent encore et encore
Pourquoi les auteurs d’attaques par ransomware reviennent encore et encore
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.