La liste CVE de la NSA en tête d’un rappel opportun au patch

Une liste récemment publiée de 25 des vulnérabilités et expositions communes (CVE) les plus fréquemment exploitées actuellement exploitées par des acteurs avancés de la menace persistante (APT) parrainés par l’État originaires de Chine a souligné l’importance d’appliquer des mises à jour logicielles et des correctifs en temps opportun.

La liste a été publiée par la National Security Agency (NSA) des États-Unis, et détaille un certain nombre de vulnérabilités qui peuvent être utilisées pour obtenir un accès initial aux réseaux de victimes en passant par des produits qui peuvent être directement consultés à partir de l’Internet public, puis faire des ravages une fois à l’intérieur.

Beaucoup d’entre eux ont été connus pendant un certain temps, reflétant une préférence générale parmi les acteurs malveillants pour cueillir des fruits à faible pendaison à travers de vieux bugs non patchés.

« Nous entendons haut et fort qu’il peut être difficile de donner la priorité aux efforts de correction et d’atténuation », a déclaré Anne Neuberger, directrice de la cybersécurité à la NSA.

« Nous espérons qu’en soulignant les vulnérabilités que la Chine utilise activement pour compromettre les systèmes, les professionnels de la cybersécurité obtiendront des informations exploitables pour prioriser les efforts et sécuriser leurs systèmes. »

Les 25 vulnérabilités répertoriées sont détaillées dans l’avis de la NSA qui peut être consulté en ligne ici, et comprennent des bogues dans les produits de Cisco, Citrix, F5 Networks, Microsoft, MobileIron, Oracle, Pulse Secure et Symantec. Certains d’entre eux sont connus depuis des années, et beaucoup d’entre eux ont déjà attiré l’attention.

Chloé Messdaghi, vice-présidente de la stratégie chez Point3 Security, a déclaré qu’elle avait constaté une augmentation substantielle du nombre d’acteurs malveillants ciblant ces CVE bien connus au cours des 12 derniers mois.

« Ils essaient de recueillir des données sur la propriété intellectuelle. Les attaquants chinois pourraient être des États-nations, être une entreprise ou un groupe d’entreprises, ou simplement un groupe d’acteurs de la menace ou un individu essayant d’obtenir des informations exclusives pour utiliser et construire des entreprises compétitives, en d’autres termes, pour voler et utiliser pour leur propre profit », a-t-elle dit.

« e suis heureux que la NSA a publié ce. La publication de ce rapport renforce le travail que les entreprises doivent faire pour sécuriser leur propriété intellectuelle, et les pousse à faire les correctifs et l’entretien qu’ils doivent faire », a ajouté Messdaghi.

Jamie Akhtar, PDG et co-fondateur de CyberSmart, a déclaré: « Les gens ont l’impression que la cybercriminalité est sophistiquée et difficile à protéger contre. Mais comme le montre cette nouvelle, même les criminels hautement professionnels ne font souvent qu’exploiter les vulnérabilités connues que les organisations et le public n’ont pas pris le temps d’aborder.

« ssa veillé à ce que les logiciels soient à jour, et donc des correctifs pour les vulnérabilités connues sont en place, est l’une des cinq règles fondamentales de la cyber-hygiène. Le gouvernement britannique a mis au point un système qui couvre ces principes fondamentaux pour aider toutes les entreprises et leur personnel à comprendre et à maintenir la sécurité de base.

Ciaran Byrne, chef des opérations de la plate-forme à Edgescan, a déclaré que la divulgation a montré qu’il était important d’avoir des procédures en place pour mettre à jour les logiciels vulnérables dès que possible après les correctifs sont libérés.

« Parfois, il n’est pas toujours pratique ou possible de mettre à jour le logiciel immédiatement que certains éléments s’appuient sur une version spécifique ou la mise à jour nécessite des temps d’arrêt de planification, cependant, un plan et un calendrier doit être mis en place », at-il ajouté.

Au cours de ce processus, a-t-il dit, les organisations doivent d’abord se demander pourquoi les logiciels ne peuvent pas être corrigés tout de suite, et se demander s’il est si obsolète dans doit être remplacé.

Deuxièmement, les entreprises devraient se demander ce qu’il faut faire pour se protéger lorsqu’elles ne sont pas corrigées, par exemple en établissant de nouvelles règles de pare-feu pour permettre l’accès à des ports spécifiques uniquement à partir d’adresses IP prédéfinies.

Enfin, ils devraient se demander si le risque actuel associé est suffisamment faible pour ne pas corriger – c’est-à-dire pour déterminer si des informations sensibles peuvent être exposées ou volées, ou si la vulnérabilité divulguée pourrait être exploitée dans un incident plus grave par un attaquant.