La publication de code d’exploitation fait plus de mal que de bien, selon le rapport
3 min read
Chercheurs en cybersécurité et hackers éthiques souhaitera peut-être envisager de réduire la divulgation publique de la vulnérabilité code d’exploitation avant la mise à disposition des correctifs, car cela donne aux acteurs malveillants un avantage «clair et sans équivoque», selon de nouvelles données analysées par un spécialiste de la gestion des vulnérabilités Sécurité Kenna et Institut Cyentia.
Dans l’étude de recherche, Priorité à la prédiction, volume 7: établir l’avantage du défenseur, Kenna a déclaré que dans environ un tiers des cas, il avait constaté que les pirates éthiques – sur lesquels l’industrie s’appuie dans une certaine mesure pour identifier de nouvelles vulnérabilités et écrire code d’exploitation de preuve de concept – a rendu leur code accessible au public avant le patch.
Le fondateur et directeur technique de Kenna, Ed Bellis, a déclaré que pendant des années, la communauté se demandait si cela améliorait ou non la sécurité globale en développant plus rapidement les correctifs, ou si cela donnait un avantage aux attaquants, mais que la recherche devrait lever tout doute à ce sujet.
«Les pratiques qui ont longtemps été au cœur de l’écosystème de la cybersécurité, que beaucoup d’entre nous pensaient bénéfiques, sont en fait néfastes pour les défenseurs», a déclaré Bellis.
L’analyse a révélé que dans les cas où le code d’exploitation précède un correctif, un attaquant obtient un avantage d’exploitation moyen de 98 jours.
La publication de code entraîne également un volume d’exploitation, indique le rapport. Seul un petit nombre, seulement 1,3%, de vulnérabilités ont été exploitées dans la nature et ont un code d’exploitation accessible au public, mais ces vulnérabilités sont exploitées environ 15 fois plus souvent que les 98,7% de vulnérabilités où le code n’est pas divulgué, et sont utilisées contre six fois plus de victimes potentielles.
«Ce que nous constatons, c’est que la disponibilité du code d’exploitation entraîne à la fois un volume d’exploitation et permet aux pirates de déployer plus facilement les types d’attaques les plus susceptibles de causer de graves dommages à une entreprise», a déclaré Wade Baker, partenaire et co-fondateur de Institut Cyentia.
«Lorsque le code d’exploitation est intégré dans des outils de piratage – à la fois légitimes et malveillants – il devient plus rapide et moins coûteux de trouver et d’exploiter les failles de sécurité.»
Les chercheurs ont également découvert peu de preuves suggérant que la publication de code d’exploitation facilitait la détection précoce des exploits actifs ou poussait les équipes de développement à les atténuer plus rapidement.
«Bien que les opinions ne manquent pas de tous les côtés du débat sur la divulgation», a déclaré Jay Jacobs, partenaire et co-fondateur de Cyentia Institute, «très peu de recherches objectives ont été effectuées à la fois sur les avantages potentiels et les dommages causés par des les chercheurs en sécurité publient un code d’exploitation armé. Les données fournissent des indications claires à la communauté de la sécurité: le partage public du code d’exploitation profite davantage aux attaquants qu’aux défenseurs.
Le rapport, qui est basé sur des données collectées auprès des propres clients de Kenna, contient également un aperçu des préférences des acteurs malveillants – lorsqu’un exploit publié permet des attaques d’exécution de code à distance (RCE), il a tendance à être utilisé jusqu’à 30 fois plus fréquemment que exploits qui ne le font pas.
Il met également en évidence l’existence d’une disparité majeure en termes de temps nécessaire aux organisations pour corriger les vulnérabilités – jusqu’à 40 fois plus longtemps sur les logiciels Linux ou SAP (900 jours en moyenne), que sur les produits Google ou Microsoft (22 jours sur moyenne).
