Les analyses malveillantes des systèmes à risque commencent quelques minutes après la divulgation

Les acteurs malveillants commencent à rechercher les systèmes à risque dans un délai moyen de 15 minutes après la divulgation d’un nouveau Vulnérabilité et exposition courantes (CVE), et dans de nombreux cas beaucoup plus rapide que cela – les analyses des déploiements vulnérables de Microsoft Exchange Server ont commencé dans les cinq minutes de retour en mars 2021.

Ceci est selon les statistiques récemment publiées rassemblées par Cortex Xpanse de Palo Alto Networks l’équipe de recherche, qui a étudié les surfaces d’attaque publiques de 50 entreprises mondiales entre janvier et mars, surveillant les analyses de 50 millions d’adresses IP.

Il n’est pas surprenant que chaque fois qu’une nouvelle CVE fait surface, le pistolet de départ soit tiré sur une course entre attaquants et défenseurs, mais Palo Alto a déclaré qu’il y avait actuellement un net avantage pour les attaquants – notant qu’il ne coûte qu’environ 10 $ pour louer suffisamment de cloud. puissance de calcul pour effectuer une analyse imprécise de tout Internet.

«Nous savons par la vague d’attaques réussies que les adversaires gagnent régulièrement des courses pour corriger de nouvelles vulnérabilités. Il est difficile d’ignorer les expériences de plus en plus courantes de violations perturbant nos vies numériques, ainsi que le flux continu de reportages relatant la montée de la cyber-extorsion », a déclaré l’équipe de recherche dans son rapport.

«Les adversaires travaillent 24 heures sur 24 pour trouver des systèmes vulnérables sur les réseaux d’entreprise qui sont exposés sur Internet ouvert. L’exposition des systèmes d’entreprise s’est considérablement étendue au cours de l’année écoulée pour prendre en charge les travailleurs à distance. Lors d’une journée type, les attaquants ont effectué une nouvelle analyse une fois par heure, alors que les entreprises mondiales peuvent prendre des semaines. »

Commentant les principaux résultats, Travis Biehn, principal consultant en sécurité à Groupe d’intégrité logicielle Synopsys, a déclaré que la raison pour laquelle les bons étaient à la traîne était évidente, car les processus de correction peuvent prendre des jours, obligeant les défenseurs à s’appuyer sur des contrôles de compensation pour tenter de bloquer et d’atténuer, ou à tout le moins de détecter, de nouvelles attaques à court terme.

Cependant, il a déclaré: «Les attaquants les plus sophistiqués, ceux qui ont des objectifs clairs et des cibles connues longtemps à l’avance, cartographient à l’avance l’empreinte du réseau d’entreprise à travers les centres de données privés et le cloud.

«Ils disposent également d’une automatisation et d’une infrastructure prêtes à tirer parti des nouvelles vulnérabilités avant que les défenses ne puissent intervenir», a déclaré Biehn.

le Rapport sur les menaces de surface d’attaque Cortex XPanse 2021 a constaté que près d’un tiers des vulnérabilités étaient dus à des problèmes avec le protocole de bureau à distance (RDP) largement utilisé – encore une fois sans surprise étant donné la montée en puissance de son utilisation pour accompagner les télétravailleurs. Parce qu’il peut fournir un accès administrateur direct aux systèmes critiques tels que les serveurs, RDP est devenu l’une des passerelles les plus facilement et les plus largement exploitées pour les attaques de ransomwares.

Parmi les autres vulnérabilités largement exposées figuraient des serveurs de base de données mal configurés, une exposition à des zero-days publicisés (tels que Microsoft Exchange ProxyLogon et al) et un accès à distance non sécurisé via des protocoles tels que Telnet, Simple Network Management Protocol (SNMP) et Virtual Network Computing (VNC) . Encore une fois, bon nombre de ces expositions offrent un accès direct à exploité, bien qu’elles soient facilement corrigées.

L’équipe a également constaté que les empreintes dans le cloud étaient responsables de 79% des problèmes de sécurité les plus critiques dans les entreprises étudiées, soulignant à quel point la nature du cloud computing augmente les risques dans les infrastructures modernes.

Biehn a ajouté: «Minimiser l’empreinte exposée et maximiser les approches de confiance zéro, à la lumière des considérations de main-d’œuvre mobile, est une stratégie pour faire pencher la balance en faveur des défenseurs. Les organisations doivent chercher à comprendre quelle vue les attaquants peuvent créer et quels services d’écoute sont les plus susceptibles de souffrir en cas d’exploitation. »