Posté le avril 1, 2023 à 4:41
PLUS DE 15 MILLIONS DE SERVICES PUBLICS VULNÉRABLES AUX VULNÉRABILITÉS KEV DE LA CISA
Plus de 15 millions de services publics sont vulnérables à plus d’une des 896 vulnérabilités répertoriées dans le catalogue des vulnérabilités connues et exploitables (KEV) de la CISA.
Les services publics vulnérables aux vulnérabilités KEV de la CISA
Le nombre élevé de vulnérabilités dans ces services a été révélé dans un rapport de la société de cybersécurité Rezilion. L’entreprise a mené des recherches approfondies pour détecter les systèmes vulnérables exposés aux piratages des acteurs de la menace. Les hackers, dans ce cas, sont soit parrainés par un État, soit des groupes de ransomware.
Les découvertes de Rezilion sont inquiétantes car les failles examinées sont connues et répertoriées dans le catalogue KEV de la CISA. Les acteurs de la menace ont activement exploité les vulnérabilités, et tout retard dans la correction de ces failles permet de faire perdurer une vaste surface d’attaque, permettant aux hackers d’accéder à de multiples cibles.
La société de cybersécurité Rezilion déploie le service d’analyse web Shodan qui détecte les points d’extrémité vulnérables aux CVE intégrés dans le catalogue des vulnérabilités connues et exploitables (CISA Known Exploitable Vulnerabilities Catalog).
En utilisant les requêtes de recherche personnalisées, les chercheurs ont détecté 15 millions d’instances vulnérables à 200 CVE du catalogue des vulnérabilités. Plus de la moitié des 7 millions d’instances sont vulnérables à l’une des 137 CVE liées à Microsoft Windows, ce qui fait de cette fonctionnalité une priorité pour les défenseurs et une cible pour les hackers.
Près de la moitié des dix principaux CVE, en dehors de Windows, identifiés par Rezilion datent de plus de cinq ans. Par conséquent, environ 800 000 machines n’ont installé aucune mise à jour de sécurité pendant une période donnée.
Le rapport indique également que plus de 4,5 millions d’appareils connectés à l’internet ont été détectés et jugés vulnérables à des attaques utilisant les CVE identifiés. « Il est très préoccupant que ces machines n’aient pas installé les mises à jour pertinentes publiées pendant des années, même si un correctif a été publié, et que ces vulnérabilités soient connues pour être exploitées dans la nature », indique le rapport.
L’une des CVE signalées, CVE-2021-40438, est une vulnérabilité de gravité moyenne qui apparaît dans près de 6,5 millions de résultats de Shodan. Cette faille affecte le serveur Apache HTTPD v2.4.48 et les versions antérieures.
L’autre faille est ProxyShell, un ensemble de trois failles qui affectent Microsoft Exchange et qui ont été exploitées par des acteurs Iraniens pour des exécutions de code à distance en 2021. Le ProxyLogon contient également quatre vulnérabilités affectant Microsoft Exchange que des hackers Russes ont déjà exploitées pour attaquer des infrastructures Américaines.
La faille HeartBleed est une faille de gravité moyenne qui affecte OpenSSL, où les hackers peuvent faire fuir des informations sensibles de la mémoire du processus. Selon Shodan, 190 446 failles sont encore exposées aux attaques.
La faille CVE-2021-40438 montre que de nombreux exploits sont liés aux sites web et aux services fonctionnant sur Apache, et non à des appareils individuels. Les multiples sites web peuvent être hébergés sur un seul serveur.
L’estimation de Rezilion concernant les 15 millions de points de terminaison exposés est prudente. Elle ne contient pas de doublons et ne tient pas compte des cas où les chercheurs n’ont pas pu détecter des requêtes permettant de préciser les versions des produits.
Un rapport de Rezilion ajoute que les chercheurs ne se sont pas uniquement appuyés sur les recherches CVE intégrées dans Shodan pour leur étude. Ils ont plutôt créé des requêtes de recherche personnalisées qui ont permis de déterminer les versions de logiciels fonctionnant sur plusieurs appareils.
L’entreprise a indiqué qu’elle avait effectué son analyse, notamment en détectant les versions vulnérables du produit concerné et en concevant des requêtes Shodan qui identifient les indications relatives aux versions dans les métadonnées visibles par Shodan.
Tentatives d’exploitation de ces vulnérabilités
Rezilion a utilisé les données acquises dans Greynoise pour surveiller et classer les tentatives d’exploitation de cette vulnérabilité. La vulnérabilité la plus exploitée est CVE-2022-26134, avec 1 421 résultats dans GreyNoise, tandis que 816 tentatives d’exploitation ont été faites au cours du dernier mois.
Si les hackers exploitent cette faille, ils peuvent exécuter une expression Object-Graph Navigation Language sur la vulnérabilité. Les autres vulnérabilités qui ont également un niveau d’exploitation élevé comprennent CVE-2018-13379, qui a fait l’objet de 66 tentatives d’exploitation au cours du mois dernier.
La protection contre les risques posés par ces failles nécessite l’installation de correctifs sur les appareils des utilisateurs. En outre, les organisations devraient également donner la priorité aux failles critiques lors de l’application des correctifs ou de leur sécurisation dans un pare-feu.
Selon Rezilion, les failles de Microsoft Windows, Adobe Flash Player, Google Chrome, Microsoft Office, Internet Explorer et Win32k représentent un quart du catalogue KEV de la CISA, où ces produits peuvent constituer un point de départ idéal.
