Les nominés pour le César de la meilleure vulnérabilité sont…
La Cybersecurity and Infrastructure Security Agency (DHS CISA) et le FBI ont publié la liste des 10 vulnérabilités les plus couramment exploitées entre 2016 et 2019 par les attaquants. Les dix CVE mentionnées dans le document mis en ligne par les deux agences fédérales le 12 mai 2020 ont un point commun : elles sont toutes couvertes par des mises à jour et des correctifs disponibles.
La CISA et le FBI démontrent qu’une application scrupuleuse, consciencieuse et faite dans les temps protège efficacement contre la très grande majorité des cyberattaques, quel que soit le type d’acteurs : étatiques, cybercriminels, etc. L’utilisation des 10 “oldies but goodies” vulnérabilités — CVE-2017–11882, CVE-2017–0199, CVE-2017–5638, CVE-2012–0158, CVE-2019–0604, CVE-2017–0143, CVE-2018–4878, CVE-2017–8759, CVE-2015–1641 et CVE-2018–7600 — ne demande pas aux attaquants des grands efforts ni des compétences techniques particulières, ce qui explique leur prédominance.
Sans grande surprise, les failles dans les logiciels de Microsoft sont en bonne position parmi ce “Top 10”. Les CVE-2017–11882, CVE-2017–0199 et CVE-2012- 0158, qui touchent les applications bureautiques de l’entreprise de Redmond figurent parmi les failles les plus privilégiées par les groupes d’acteurs étatiques russes, chinois, iraniens et nord-coréens. Elles sont utilisées par ces groupes pour créer des documents piégés qui exploitent des vulnérabilités dans les objets OLE (Object Linking and Embedding).
L’exécution de ces objets permet l’installation de malware et la compromission de l’ordinateur des destinataires de mails malveillants dans le cadre de campagnes de hameçonnage ciblées ou non. Les failles dans les produits Microsoft sont également communément exploitées par les opérateurs cybercriminels du malware Dridex.
La CISA s’étonne que la vulnérabilité CVE-2012–0158, qui figurait déjà dans le Top 30 des failles les plus exploitées en 2015, soit toujours présente 5 ans après dans le Top 10, même si elle est de plus en plus souvent remplacée par des failles plus récentes, notamment les CVE-2017–11882, CVE-2018–0798 et CVE2018–0802. La persistance de la CVE-2012–0158, très prisée des acteurs chinois, s’expliquerait, selon la CISA, par l’incapacité pour certaines organisations et entreprises à appliquer le correctif idoine 8 ans après la publication de celui-ci. Les vulnérabilités dans WordPress et Apache Struts occupent la seconde place sur le podium.
Un rapport publié en mars 2020 par la société RiskSense indiquait que les failles dans ces deux solutions comptabilisent à elles-seules 55% des vulnérabilités utilisées dans des cyberattaques. Pour mémoire, l’exploitation de la CVE-2017–5638 dans Apache Struts a conduit au vol de données de 143 millions de consommateurs stockées par la société Equifax en 2017. Les attaques contre les applications Web reposant sur WordPress, Apache Struts mais aussi Drupal sont plus courantes que celles exploitant des failles dans les langages Java et PHP durant les années 2000 à 2010.
Adobe n’est pas oublié : la CVE-2018–4878 a été utilisée par un groupe d’acteurs nord-coréens pour déployer le cheval de Troie DOGCALL (également appelé ROKRAT) en 2018 avant la publication d’un correctif par Adobe. Pour 2020, la CISA et le FBI identifient les CVE-2019- 19781 et CVE-2019–11510, affectant respectivement les solutions VPN Citrix et Pulse, comme prévalentes dans les attaques les plus courantes.
Sans surprise là non plus, les mesures de télétravail prises depuis la pandémie de la Covid-19 se traduisent depuis le mois de mars par une augmentation sensible des attaques qui ciblent les solutions Cloud dont Microsoft Office 365.
Le déploiement dans l’urgence et la précipitation de ces solutions conduit souvent à des mauvaises configurations qui nuisent gravement à la sécurité des utilisations de ces plateformes. Les recommandations de la CISA et du FBI pour réduire les risques se résument à deux mots : “update” et “upgrade”.
Sources & Références
- https://www.us-cert.gov/ncas/alerts/aa20-133a
- https://www.zdnet.com/article/dhs-cisa-and-fbishare-list-of-top-10-most-exploited-vulnerabilities/
- https://www.bleepingcomputer.com/news/security/ us-govt-shares-list-of-most-exploited-vulnerabilitiessince-2016/
