Les principales vulnérabilités ciblent les périphériques du périmètre

Le Royaume-Uni Centre national de cybersécurité (NCSC) et ses homologues australien et américain ont publié aujourd’hui un avis mettant en évidence les vulnérabilités et expositions communes (CVE) les plus largement exploitées de l’année jusqu’à présent, et les 30 les plus exploitées de 2020.

Les trois agences ont déclaré qu’étant donné la pandémie en cours et le pivot associé au travail à distance et à l’utilisation de réseaux privés virtuels (VPN) et de services cloud, les acteurs malveillants ont intensifié leur ciblage des vulnérabilités dans les appareils de type périmètre, imposant un fardeau supplémentaire aux défenseurs. qui ont déjà du mal à suivre le rythme leurs exigences de correctifs de routine.

« L’avis publié aujourd’hui donne à chaque organisation le pouvoir de corriger les vulnérabilités les plus courantes, telles que les passerelles VPN non corrigées », a déclaré Paul Chichester, directeur des opérations du NCSC.

« En travaillant avec nos partenaires internationaux, nous continuerons de sensibiliser aux menaces posées par ceux qui cherchent à nuire. »

Eric Goldstein, directeur adjoint exécutif pour la cybersécurité à la Cybersecurity and Infrastructure Security Agency (CISA), a ajouté : « Les organisations qui appliquent les meilleures pratiques de cybersécurité, telles que l’application de correctifs, peuvent réduire le risque que les cyberacteurs exploitent les vulnérabilités connues de leurs réseaux. .

« La collaboration est une partie cruciale du travail de CISA, et aujourd’hui, nous nous sommes associés à l’ACSC, au NCSC et au FBI pour mettre en évidence les cyber-vulnérabilités que les organisations publiques et privées devraient prioriser pour les correctifs afin de minimiser le risque d’être exploitées par des acteurs malveillants. »

Les vulnérabilités les plus exploitées de 2020 comprenaient plusieurs vulnérabilités d’exécution de code à distance dans des produits comme Atlassian, Drupal, F5-Big IP, Microsoft, MobileIron et Telerik, aux côtés le tristement célèbre CVE-2019-19781, une vulnérabilité d’exécution de code arbitraire dans Citrix et d’autres bogues dans les produits Fortinet, Pulse Secure et Netlogon. Beaucoup d’entre eux sont encore largement exploités aujourd’hui.

La liste 2021 comprend les vulnérabilités exploitées dans les attaques généralisées menées par Accellion ALE, Serveur Microsoft Exchange, Fortinet, Impulsion sécurisée et VMware. La liste complète, qui contient également d’autres informations techniques, est disponible au téléchargement à partir de CISA.

Les agences ont exhorté les utilisateurs finaux à faire tout leur possible pour mettre à jour les versions logicielles dès que possible une fois que les correctifs sont mis à disposition par le fournisseur concerné, ce qui est finalement la meilleure pratique la plus efficace pour atténuer les CVE. L’automatisation des mises à jour logicielles dans la mesure du possible est un bon début.

À défaut, les organisations doivent prioriser les correctifs pour les CVE déjà exploitées ou accessibles au plus grand nombre d’attaquants potentiels, tels que les systèmes confrontés à l’Internet public.

Si les ressources de cyberdéfense sont rares, se concentrer sur l’atténuation des vulnérabilités les plus courantes ne sert pas seulement à renforcer la sécurité du réseau tout en empêchant les acteurs malveillants de compromettre les systèmes cibles.

À titre d’exemple, CVE-2019-11580, une vulnérabilité RCE dans l’application de gestion centralisée des identités Crow d’Atlassian, était l’un des bogues les plus utilisés par les groupes soutenus par les États-nations en 2020 – si les utilisateurs d’Atlassian se concentraient sur ce point à l’époque, ont eu un impact significatif sur la capacité des attaquants à compromettre leurs victimes en les obligeant à essayer de trouver des alternatives.