Les vulnérabilités logicielles non corrigées restent des cibles attrayantes pour les cybercriminels longtemps après leur découverte. Les problèmes d'héritage ne disparaîtront pas d'eux-mêmes. Une analyse de Barracuda montre à quel point cela peut être dangereux.
Ce peut être une erreur fatale de croire que les vulnérabilités logicielles identifiées ne sont plus dangereuses. Quiconque est maintenant négligent et pense attendre pour fermer la passerelle, ce qui est urgent, car il y a actuellement des choses beaucoup plus importantes à faire au sein de sa propre infrastructure informatique, se trompe lourdement. Parce que c'est précisément cette négligence sur laquelle de nombreux pirates s'appuient et vérifient à nouveau où le correctif n'est pas apparu.
Les pirates recherchent de nouvelles et d'anciennes vulnérabilités
Les pirates ne se contentent pas de se retirer des réseaux informatiques pour rechercher de nouvelles vulnérabilités inconnues ailleurs. Même des années après la découverte des vulnérabilités, le nombre de systèmes encore ouverts est alarmant. Les experts en sécurité de Barracuda ont récemment analysé les données sur les attaques bloquées par les systèmes Barracuda au cours des deux derniers mois. Ils ont trouvé des centaines de milliers d'analyses et d'attaques automatisées, ainsi que des milliers d'analyses - chaque jour - pour les vulnérabilités Microsoft et VMware récemment corrigées. Dans ce qui suit, les modèles d'attaque sont examinés plus en détail et des mesures sont identifiées avec lesquelles les entreprises peuvent protéger leur infrastructure.
Vulnérabilités logicielles non corrigées
La vulnérabilité Microsoft Hafnium a été révélée pour la première fois en mars 2021. Les vulnérabilités qui ont été exploitées étaient CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065. CVE-2021-26855 est une vulnérabilité de falsification de requête côté serveur (SSRF) dans Exchange qui permet à un attaquant d'envoyer des requêtes HTTP arbitraires et de s'authentifier en tant que serveur Exchange. CVE-2021-26855 est de préférence utilisé pour identifier les systèmes vulnérables. Les vulnérabilités restantes semblent être liées à cette vulnérabilité pour exécuter d'autres exploits, y compris les soi-disant webshells. Un webshell est une interface Web malveillante qui permet l'accès et le contrôle à distance d'un serveur Web en exécutant des commandes arbitraires.
Depuis le début du mois de mars, les analystes de la sécurité ont remarqué une augmentation initialement modérée puis significative des tentatives de sondage pour CVE-2021-26855, qui s'est poursuivie à ce jour, les tentatives de sondage augmentant temporairement puis retombant à un niveau inférieur.
Vulnérabilités dans VMware vCenter Server
Une deuxième vulnérabilité drastique avec l'identifiant CVE-2021-21972 a affecté plus de 6700 serveurs VMware vCenter qui étaient accessibles via Internet plus tôt cette année. Les criminels pourraient prendre le contrôle d'un serveur non corrigé et pénétrer dans l'ensemble du réseau d'une entreprise. Les analystes de Barracuda ont continué à rechercher régulièrement CVE-2021-21972. Bien qu'il y ait eu une baisse des sondages, cela ne doit pas rester ainsi. Il faut s'attendre à ce que ces analyses augmentent à nouveau de temps en temps à mesure que les attaquants parcourent la liste des vulnérabilités connues à fort impact.
Ces deux événements démontrent que les attaquants continueront de sonder et d'exploiter les vulnérabilités logicielles, en particulier les plus graves, bien après la publication des correctifs et des atténuations. Les pirates spéculent sur le fait que les équipes informatiques manquent souvent de temps, ce qui rend difficile le suivi des correctifs constants.
Les pirates semblent également entrer dans le week-end
À quoi ressemblent les schémas d'attaque en particulier ? Alors qu'auparavant les bots s'adaptaient au déroulement d'une journée de travail pour mener à bien leurs attaques, la semaine de travail est désormais la même pour les attaquants et les victimes potentielles. Cela montre à quel point la plupart des attaquants semblent prendre le week-end même lorsqu'ils lancent des attaques automatisées. Cependant, la raison en est probablement moins un besoin accru de loisirs et plus le fait qu'il est plus facile de se cacher dans la foule lors de diverses activités que de tirer la sonnette d'alarme en ciblant des systèmes sous-utilisés le week-end.
Injection de commandes depuis SQL et attaques par injection de commandes
Comment les attaques relèvent-elles des types d'attaques courants de reconnaissance/fuzzing et d'attaques de vulnérabilité d'application (WordPress était le plus populaire) ? Généralement, les attaques par injection SQL prédominent sur les attaques par injection de commande, suivies de tous les autres types d'attaques. Cependant, au cours de la période d'enquête, l'injection de commandes a mené de loin - y compris de nombreuses tentatives d'injection de commandes contre Windows. Ces attaques ont culminé pendant plus de deux semaines en juin, puis sont revenues à des niveaux normaux. Les attaques restantes étaient plus ou moins au niveau attendu, aucun modèle d'attaque spécifique n'étant identifié dans les différentes catégories. Il est également essentiel d'activer HTTPS avec l'intégration de Lets Encrypt et de s'assurer que la configuration est mise à jour pour utiliser les derniers protocoles. Les protocoles actuellement les plus sécurisés sont TLS1.3 et TLS1.2. Les implémentations utilisant le HTTP simple sont toujours en cours, mais il est intéressant de noter que le trafic HTTP simple a un volume plus élevé que les protocoles SSL/TLS plus anciens et non sécurisés.
WAF ou WAAP : définitivement configuré correctement
Les attaques visant à exploiter des vulnérabilités logicielles connues posent souvent un défi aux équipes informatiques lors de la recherche des solutions nécessaires en raison du grand nombre d'entre elles. Il est bon de savoir que ces solutions sont regroupées dans des produits WAF/WAF-as-a-Service, également connus sous le nom de Web Application and API Protection Services (WAAP). Gartner définit les services WAAP comme "l'évolution des services cloud WAF." Si seulement les services WAAP étaient basés sur le cloud, la fourniture en tant que service du WAF, l'atténuation des bots, la protection DDoS et la sécurité des API avec un seul modèle d'abonnement-combiné.
Les entreprises doivent absolument envisager une solution WAF-as-a-Service ou WAAP qui inclut l'atténuation des bots, la protection DDoS, la sécurité des API et la protection contre le bourrage d'informations d'identification, puis s'assurer qu'elle est correctement configurée.
Plus sur Barracuda.com
À propos des réseaux Barracuda Barracuda s'efforce de rendre le monde plus sûr et estime que chaque entreprise devrait avoir accès à des solutions de sécurité à l'échelle de l'entreprise compatibles avec le cloud, faciles à acheter, à déployer et à utiliser. Barracuda protège les e-mails, les réseaux, les données et les applications avec des solutions innovantes qui évoluent et s'adaptent tout au long du parcours client. Plus de 150.000 XNUMX entreprises dans le monde font confiance à Barracuda pour se concentrer sur la croissance de leur activité. Pour plus d'informations, rendez-vous sur www.barracuda.com.