L'exécution de code à distance (RCE) est l'exécution de code arbitraire sur un système informatique où l'attaquant n'a pas un accès direct à la console. En exploitant les vulnérabilités, un pirate distant peut prendre le contrôle total du système. C'est le cas des failles de sécurité dans Confluence et Azure.
Par exemple, tout utilisateur ayant accès à un point de terminaison avec une version logicielle vulnérable peut exécuter des commandes arbitraires via une requête HTTP sans nécessiter d'en-tête d'autorisation. La réponse attendue à cette requête serait une page de réponse 401 "Non autorisé". Cependant, l'utilisateur peut exécuter des commandes avec les privilèges "root". Ces menaces avaient déjà été identifiées lors de l'attaque d'Equifax en 2017.
Deux vulnérabilités récemment découvertes sont les derniers développements de ce type d'attaque : la vulnérabilité d'injection OGNL d'Atlassian Confluence et une vulnérabilité affectant l'infrastructure de gestion ouverte Azure (OMI). Les chercheurs en sécurité de Barracuda ont analysé les attaques tentant d'exploiter ces vulnérabilités sur une période de 45 jours en août et septembre 2021 et ont identifié des pics d'attaque provenant de plus de 500 adresses IP d'attaquants uniques. Ce qui suit examine de plus près ces vulnérabilités, les modèles d'attaque récents et les solutions que les entreprises peuvent utiliser pour se protéger contre ces types d'attaques.
La vulnérabilité Atlassian Confluence OGNL Injection a été divulguée pour la première fois par Atlassian le 25 août 2021. Peu de temps après, il a été ajouté à la base de données nationale des vulnérabilités (CVE-2021-26084). Cette vulnérabilité permet aux pirates d'envoyer une requête "POST" à l'aide du moteur de modèle Confluence sans en-tête d'autorisation. Cela donne à l'auteur de la menace un accès « racine » au système. Les attaquants peuvent injecter du code Java via les paramètres "queryString" et "linkCreation".
Atlassian a annoncé que "toutes les versions de Confluence Server et Data Center antérieures aux versions corrigées sont affectées par cette vulnérabilité." En analysant les données de fin août à fin septembre, les chercheurs en sécurité de Barracuda ont déterminé que les attaques contre les vulnérabilités de Confluence ont monté en flèche et restent à un niveau élevé. niveaux car de nombreux utilisateurs de Confluence ont encore une version vulnérable du logiciel.
2. Vulnérabilité dans Azure Open Management Infrastructure (OMI)
Azure a publié CVE-2021-38647 le 15 septembre 2021. Cette vulnérabilité affecte Azure Open Management Infrastructure (OMI). Azure OMI est un agent logiciel préinstallé et déployé en mode silencieux dans des environnements cloud. Cette installation silencieuse met désormais les clients Azure en danger jusqu'à ce qu'ils mettent à niveau leurs systèmes vers la dernière version d'OMI.
Les attaquants ciblent ces systèmes en envoyant un message HTTPS spécialement conçu à l'un des ports écoutant le trafic OMI (ports 1270/5985/5986), donnant à l'attaquant un accès initial à l'ordinateur. Les commandes envoyées par l'attaquant sont exécutées par le service SCXcore, permettant à l'attaquant d'exploiter les vulnérabilités. L'attaquant peut envoyer une commande sans en-tête d'autorisation à l'ordinateur, auquel le serveur OMI fait confiance et accorde à l'attaquant un accès « root » au système. Microsoft a expliqué dans son blog : "Le ExecuteShellCommand RunAsProvider exécute n'importe quelle commande UNIX/Linux via le shell /bin/sh."
Les attaquants ciblent précisément la vulnérabilité
En analysant les données des systèmes Barracuda à partir de la mi-septembre, les chercheurs en sécurité de Barracuda ont remarqué une forte augmentation du nombre d'attaquants essayant d'exploiter cette vulnérabilité. Après le pic initial du 18 septembre, le nombre de tentatives d'attaques a diminué, mais ce pic s'est poursuivi puis s'est stabilisé avec le temps.
L'analyse de Barracuda des attaques sur la période de 45 jours en août et septembre a découvert 550 adresses IP d'attaquants uniques tentant d'exploiter la vulnérabilité Atlassian Confluence et 542 adresses IP d'attaquants uniques tentant d'exploiter la vulnérabilité d'exploit Azure OMI. Il y avait plusieurs attaquants derrière chaque adresse IP, ce qui signifie que le nombre d'attaques était nettement supérieur au nombre d'adresses IP. Les chercheurs ont découvert ces informations en utilisant les empreintes digitales des clients et d'autres techniques.
L'analyse montre la plupart des adresses IP des attaquants
Comme le montre la carte thermique ci-dessus, la plupart des adresses IP des attaquants sont situées aux États-Unis, y compris en Alaska. Cela peut être dû au fait que la plupart des fermes de serveurs sont situées dans ces régions. Des attaques ont également été envoyées depuis des pays comme la Russie, le Royaume-Uni, la Pologne et l'Inde. Les attaquants du monde entier tentent d'exploiter ces vulnérabilités, et les entreprises doivent garder une longueur d'avance pour protéger leurs applications Web.
Les entreprises doivent protéger les applications Web
En raison du nombre croissant de vulnérabilités dans les applications Web, il devient de plus en plus complexe de se défendre contre les attaques. Cependant, il existe désormais des solutions complètes qui protègent les applications Web contre l'exploitation de ces vulnérabilités. Les solutions WAF/WAF-as-a-Service, également connues sous le nom de services WAAP (Web Application and API Protection), peuvent aider à protéger les applications Web en fournissant toutes les dernières solutions de sécurité dans un seul produit facile à utiliser.
Avec de nombreux employés travaillant à distance et de nombreuses applications en ligne, le besoin d'une solution WAF-as-a-Service ou WAAP n'a jamais été aussi grand. Les entreprises doivent donc s'assurer qu'elles disposent d'une solution qui inclut l'atténuation des bots, la protection DDoS et la sécurité des API.
À propos des réseaux Barracuda
Barracuda s'efforce de rendre le monde plus sûr et estime que chaque entreprise devrait avoir accès à des solutions de sécurité à l'échelle de l'entreprise compatibles avec le cloud, faciles à acheter, à déployer et à utiliser. Barracuda protège les e-mails, les réseaux, les données et les applications avec des solutions innovantes qui évoluent et s'adaptent tout au long du parcours client. Plus de 150.000 XNUMX entreprises dans le monde font confiance à Barracuda pour se concentrer sur la croissance de leur activité. Pour plus d'informations, rendez-vous sur www.barracuda.com.
Ce n'est que dans un quart des entreprises allemandes que la direction assume la responsabilité de la sécurité informatique. Surtout dans les petites entreprises ➡ En savoir plus
Chaque année, la Journée mondiale de la sauvegarde, le 31 mars, rappelle l'importance de sauvegardes à jour et facilement accessibles. ➡ En savoir plus
Une entreprise de cybersécurité a examiné le paysage des menaces de l'année dernière. Les résultats fournissent des informations cruciales sur ➡ En savoir plus
De plus en plus de personnes utilisent des appareils mobiles, aussi bien dans la vie quotidienne que dans les entreprises. Cela réduit également le risque de « ➡ En savoir plus
Il n'y a plus de mises à jour pour les systèmes d'exploitation Windows 7 et 8. Cela signifie des failles de sécurité ouvertes et, par conséquent, cela vaut la peine et ➡ En savoir plus
La sécurité participative a considérablement augmenté au cours de la dernière année. Dans le secteur public, 151 pour cent de vulnérabilités supplémentaires ont été signalées par rapport à l’année précédente. ➡ En savoir plus
Une enquête sur la confiance numérique a montré que les consommateurs font le plus confiance aux banques, aux soins de santé et au gouvernement. Les média- ➡ En savoir plus
