Les analyses malveillantes des systèmes à risque commencent quelques minutes après la divulgation

Les acteurs malveillants commencent à scanner les systèmes à risque dans les 15 minutes moyennes suivant la divulgation d’une nouvelle vulnérabilité et exposition communes (CVE), et dans de nombreux cas beaucoup plus rapide que cela – les analyses des déploiements vulnérables de Microsoft Exchange Server ont commencé en moins de cinq minutes en mars 2021.

C’est ce qui est indiqué dans les statistiques récemment publiées par l’équipe de recherche Cortex Xpanse de Palo Alto Networks, qui a étudié les surfaces d’attaque publiques de 50 entreprises mondiales entre janvier et mars, en surveillant les analyses de 50 millions d’adresses IP.

Il ne faut pas s’étonner que chaque fois qu’un nouveau CVE surfaces, le pistolet de départ est tiré sur une course entre les attaquants et les défenseurs, mais Palo Alto a déclaré qu’il y avait actuellement un avantage évident pour les attaquants – notant qu’il ne coûte qu’environ 10 $ pour louer suffisamment de puissance de cloud computing pour faire un balayage imprécis de l’ensemble de l’Internet.

« Nous savons par la montée en puissance des attaques réussies que les adversaires gagnent régulièrement des courses pour corriger de nouvelles vulnérabilités. Il est difficile d’ignorer les expériences de première main de plus en plus courantes avec les violations qui perturbent nos vies numériques, ainsi que le flux continu de reportages faisant état de l’augmentation de la cyber extorsion », a déclaré l’équipe de recherche dans son rapport.

« Les adversaires travaillent 24 heures sur 24 pour trouver des systèmes vulnérables sur les réseaux d’entreprise qui sont exposés sur Internet ouvert. L’exposition aux systèmes d’entreprise s’est considérablement accrue au cours de la dernière année pour soutenir les travailleurs éloignés. Un jour typique, les attaquants ont effectué un nouveau scan une fois par heure, alors que les entreprises mondiales peuvent prendre des semaines.

Commentant les principales conclusions, Travis Biehn, consultant principal en sécurité chez Synopsys Software Integrity Group, a déclaré qu’il était évident pourquoi les bons gars étaient à la traîne, car les processus de correction peuvent prendre des jours, forçant les défenseurs à compter sur des contrôles compensatoires pour tenter de bloquer et d’atténuer, ou à tout le moins détecter, de nouvelles attaques à court terme.

Toutefois, il a déclaré: « Les attaquants les plus sophistiqués, ceux qui ont des objectifs clairs et des cibles connues bien à l’avance, cartographient l’empreinte du réseau d’entreprise à travers les centres de données privés et le cloud à l’avance.

« Ils ont également l’automatisation et l’infrastructure prêtes à tirer parti de nouvelles vulnérabilités avant que les défenses puissent entrer en ligne de compte », a déclaré M. Biehn.

le Rapport de menace de surface d’attaque cortex xpanse 2021 a constaté que près d’un tiers des vulnérabilités étaient dues à des problèmes avec le protocole de bureau à distance largement utilisé (RDP) – encore une fois sans surprise compte tenu de l’augmentation de son utilisation pour soutenir les travailleurs à distance. Parce qu’il peut fournir un accès administrateur direct à des systèmes critiques tels que les serveurs, RDP est devenu l’une des passerelles les plus faciles et largement exploitées pour les attaques ransomware.

Parmi les autres vulnérabilités largement exposées, mentionnons les serveurs de base de données mal configurés, l’exposition à des jours zéro publicisés (tels que Microsoft Exchange ProxyLogon et al., etc.) et l’accès à distance non sécurisé par le biais de protocoles tels que Telnet, Simple Network Management Protocol (SNMP) et Virtual Network Computing (VNC). Encore une fois, bon nombre de ces expositions offrent un accès direct aux exploitations, bien qu’elles soient facilement patchées.

L’équipe a également constaté que les empreintes de cloud étaient responsables de 79 % des problèmes de sécurité les plus critiques dans les entreprises qu’elle a étudiées, soulignant comment la nature de l’informatique en nuage augmente le risque dans les infrastructures modernes.

Biehn a ajouté : « Minimiser l’empreinte exposée et maximiser les approches de confiance zéro, compte tenu des considérations relatives à la main-d’œuvre mobile, est une stratégie visant à faire pencher la balance en faveur des défenseurs. Les organisations devraient chercher à comprendre quel point de vue les attaquants peuvent construire et quels services d’écoute sont les plus susceptibles de souffrir en cas d’exploitation.