Connect with us

Technologie

Fournisseurs négligeant la sécurité des appareils virtuels, mettant les utilisateurs en danger

Published

on


Les organisations de toutes formes et tailles sont laissées au risque de compromis par les défaillances des fournisseurs autour des vulnérabilités des appareils virtuels, selon une nouvelle étude d’Orca Security qui a révélé des lacunes majeures dans la sécurité des appareils virtuels.

Dans la recherche d’avril et mai 2020, Orca Security a sondé 2 218 images d’appareils virtuels de 540 fournisseurs de logiciels et découvert un total de 401 751 vulnérabilités, avec moins de 8 % d’appareils virtuels exempts de vulnérabilités connues, et moins de 5 % exempts de vulnérabilités et fonctionnant sur un système d’exploitation obsolète ou non pris en charge (OS).

Un total de 17 des vulnérabilités qu’il a trouvées étaient critiques et auraient pu avoir de graves implications si un acteur malveillant avait trébuché sur eux. Beaucoup d’entre eux sont des vulnérabilités bien connues et facilement exploitables, y compris EternalBlue, DejaBlue, BlueKeep, DirtyCOW et Heartbleed.

« Les clients supposent que les appareils virtuels sont exempts de risques de sécurité, mais nous avons trouvé une combinaison troublante de vulnérabilités rampantes et de systèmes d’exploitation non entretenus », a déclaré Avi Shua, PDG et co-fondateur d’Orca Security.

« Le Rapport sur l’état de la sécurité des appareils virtuels orca Security 2020 montre comment les organisations doivent être vigilantes pour tester et combler les lacunes en matière de vulnérabilité, et que l’industrie du logiciel a encore beaucoup de chemin à parcourir pour protéger ses clients.

Les chercheurs d’Orca ont déclaré qu’en plus d’être criblés de vulnérabilités, de nombreux appareils virtuels étaient à risque à partir de l’âge et le manque de mises à jour, avec de nombreux fournisseurs ne parviennent pas à mettre à jour ou à cesser les appareils virtuels une fois en fin de vie.

Il a déclaré que seulement 14% des images numérisées de l’appareil virtuel avaient été mises à jour au cours des trois mois précédents, 47% n’avaient pas été mis à jour au cours de la dernière année, 5% ont été négligés pendant au moins trois ans, et 11% étaient en cours d’exécution OS qui avait atteint la fin de vie.

Les fournisseurs de logiciels les plus soucieux de la sécurité, qui ont obtenu des scores « exemplaires » sur la matrice d’Orca, étaient VMware, Nvidia, HashiCorp, BeyondTrust, Pulse Secure, Trend Micro, Barracuda Networks et Verssec. Parmi les défaillances les plus médiatisées, mentionnons les produits de CA Technologies, FireMon, A10 Networks, Cloudflare, Micro Focus et Software AG.

Orca a déclaré que depuis l’alerte des fournisseurs des risques, un total de 287 produits ont été mis à jour et 53 retirés de la circulation au total, ce qui a abordé un peu moins de 37.000 des vulnérabilités signalées.

À la suite des révélations faites par Orca au cours de ses recherches, Dell EMC a publié un avis de sécurité critique pour CloudBoost Virtual Edition, Cisco a poussé les correctifs à 15 questions, IBM a mis à jour ou supprimé trois appareils virtuels en une semaine, Zoho mis à jour près de la moitié de ses produits, et Qualys a finalement mis à jour un produit qui contenait une vulnérabilité qu’il avait trouvé lui-même en 2018.

En outre, Cloudflare, IBM, Kaspersky Labs, Oracle, Splunk et Symantec ont tous supprimé un certain nombre de produits vulnérables, et un fournisseur, HailBytes, a pris le temps d’enregistrer une vidéo de remerciement personnalisée après avoir été contacté.

Cependant, Orca a également révélé que dans 32 cas, les fournisseurs ont dit qu’il appartenait aux clients de patch appareils virtuels, et 24 d’entre eux ont affirmé que leurs vulnérabilités d’appareils virtuels n’étaient pas exploitables et qu’ils n’avaient pas besoin de prendre des mesures. Certains d’entre eux ont même menacé d’intenter des poursuites – celles-ci qu’il n’a pas nommés – et, par conséquent, un nombre considérable de produits restent vulnérables.

Orca a déclaré que pour les équipes de sécurité d’entreprise concernées par les conclusions du rapport, il y avait des mesures qu’ils pouvaient prendre même si leur fournisseur ne prend pas en charge la sécurité des appareils virtuels de manière appropriée.

Tout d’abord, a-t-il dit, une gestion appropriée des actifs peut donner aux équipes de sécurité une compréhension des appareils virtuels déployés dans leur domaine – par approprié, cela signifie que cela doit inclure à la fois les actifs sur site et ceux détenus dans des instances de cloud public. Il est également important de ne pas négliger les déploiements informatiques parallèles – en particulier pendant la pandémie – parce qu’il est assez facile pour un utilisateur final averti de la technologie d’accéder et de déployer son propre appareil virtuel s’il le souhaite.

Deuxièmement, les outils de gestion des vulnérabilités doivent être utilisés pour découvrir les appareils virtuels et les analyser à la recherche de vulnérabilités connues. Orca a dit qu’il était important que ces outils scanné tous les appareils, parce que vous ne pouvez pas supposer qu’ils sont sûrs à utiliser hors de la boîte.

Troisièmement, le processus de gestion de la vulnérabilité doit être adapté pour donner la priorité aux vulnérabilités les plus graves – soit en les réparant, soit en mettant fin à l’utilisation du produit si nécessaire.

Enfin, Orca recommande aux utilisateurs de garder les lignes de communication avec leurs partenaires fournisseurs ouvertes, de les approcher et de leset leurs processus de support et la façon dont ils corrigent les vulnérabilités qui sont divulguées, et n’ayez pas peur de chercher une alternative si le fournisseur ne se mesure pas.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance