Log4Shell, ProxyLogon, ProxyShell parmi les bogues les plus exploités de 2021

Le National Cyber Security Centre (NCSC) du Royaume-Uni s’est de nouveau associé à ses homologues d’Australie, du Canada, de Nouvelle-Zélande et des États-Unis pour mettre en évidence certaines des vulnérabilités et expositions communes (CVE) les plus percutantes exploitées par des acteurs malveillants en 2021, et conseiller aux organisations qui ne l’ont pas encore fait de les corriger.

Au cours de 12 mois mouvementés, des cybercriminels motivés financièrement et des acteurs de la menace plus sinistres soutenus par l’État ont ciblé de manière agressive les systèmes internet sur un large éventail de victimes dans les secteurs privé et public grâce à une combinaison de CVE fraîchement divulgués et de vulnérabilités plus anciennes et datées.

Les autorités ont déclaré que pour la plupart des vulnérabilités les plus exploitées, des chercheurs ou d’autres acteurs ont publié du code de preuve de concept dans les quinze jours suivant la divulgation initiale, facilitant l’exploitation par un éventail toujours croissant de groupes.

La liste comprend des vulnérabilités telles que CVE-2021-44228, alias Log4Shell, ciblant le framework de journalisation open source Apache Log4j, divulgué en décembre 2021 et rapidement militarisé, ainsi que l’ensemble de quatre vulnérabilités connues collectivement sous le nom de ProxyLogon et l’ensemble de trois vulnérabilités connues sous le nom de ProxyShell, qui ont toutes affecté les serveurs de messagerie Microsoft Exchange.

L’avis met également en garde contre l’exploitation continue de CVE-2021-26084 dans Atlassian Confluence Server and Data Center, et de deux vulnérabilités révélées pour la première fois en 2020 et d’autres datant de 2019 et 2018, ce qui indique que de nombreuses organisations ne parviennent pas à corriger en temps opportun.

« Le NCSC et nos alliés se sont engagés à sensibiliser le public aux vulnérabilités et à présenter des solutions concrètes pour les atténuer », a déclaré Lindy Cameron, PDG du NCSC.

« Cet avis place le pouvoir entre les mains des défenseurs du réseau pour corriger les cyberdéfenses les plus courantes dans l’écosystème des secteurs public et privé. En collaboration avec nos partenaires internationaux, nous continuerons de sensibiliser aux menaces posées par ceux qui cherchent à nous nuire. »

Abigail Bradshaw, directrice de l’Australian Cyber Security Centre, a ajouté : « Les cyber-acteurs malveillants continuent d’exploiter des vulnérabilités logicielles connues et datées pour attaquer les réseaux privés et publics à l’échelle mondiale. L’ACSC s’engage à fournir des conseils en matière de cybersécurité et à partager des informations sur les menaces avec ses partenaires, afin d’assurer un environnement en ligne plus sûr pour tous. Les organisations peuvent mettre en œuvre les mesures d’atténuation efficaces mises en évidence dans cet avis pour se protéger. »

Jen Easterly, de la CISA, a déclaré : « La CISA et nos partenaires interagences et internationaux publient cet avis pour mettre en évidence le risque que les vulnérabilités couramment exploitées posent aux réseaux des secteurs public et privé.

« Nous savons que les cyber-acteurs malveillants ciblent ces vulnérabilités logicielles critiques dans de nombreuses organisations publiques et privées dans le monde entier. CISA et nos partenaires exhortent toutes les organisations à évaluer leurs pratiques de gestion des vulnérabilités et à prendre des mesures pour atténuer les risques liés aux vulnérabilités exploitées connues décrites dans cet avis.

La liste complète est la suivante :

• CVE-2021-44228, une vulnérabilité d’exécution de code à distance (RCE) dans Apache Log4j (Log4Shell).
• CVE-2021-40539, une vulnérabilité RCE dans Zoho ManageEngine AD SelfService Plus.
• CVE-2021-44523, une vulnérabilité d’élévation de privilèges (EoP) dans le serveur Microsoft Exchange (ProxyShell).
• CVE-2021-34473, une vulnérabilité RCE dans Microsoft Exchange Server (ProxyShell).
• CVE-2021-31207, un contournement de fonctionnalité de sécurité dans Microsoft Exchange Server (ProxyShell).
• CVE-2021-27065, une vulnérabilité RCE dans Microsoft Exchange Server (ProxyLogon).
• CVE-2021-26858, une vulnérabilité RCE dans Microsoft Exchange Server (ProxyLogon).
• CVE-2021-26857, une vulnérabilité RCE dans Microsoft Exchange Server (ProxyLogon).
• CVE-2021-28855, une vulnérabilité RCE dans Microsoft Exchange Server (ProxyLogon).
• CVE-2021-26084, une vulnérabilité d’exécution de code arbitraire dans Atlassian Confluence Server and Data Center.
• CVE-2021-21972, une vulnérabilité RCE dans VMware vSphere Client.
• CVE-2020-1472, une vulnérabilité EOP dans Microsoft Netlogon Remote Protocol (ZeroLogon).
• CVE-2020-0688, une vulnérabilité RCE dans Microsoft Exchange Server.
• CVE-2019-11510, une vulnérabilité de lecture de fichiers arbitraire dans Pulse Secure Pulse Connect Secure.
• CVE-2018-13379, une vulnérabilité de traversée de chemin dans Fortinet FortiOS et FortiProxy.

L’avis contient également des détails sur 21 autres vulnérabilités souvent repérées par des acteurs malveillants au cours de l’année écoulée, dont certaines remontent à plusieurs années. Ceux-ci incluent des bogues supplémentaires found dans les produits Acelllion, Cisco, Citrix, Microsoft, Pulse Secure, SonicWall et VMware.

Les autorités compétentes encouragent les équipes de sécurité à appliquer les mesures d’atténuation énoncées dans leur avis, en prenant des mesures telles que l’application des correctifs en temps opportun et la mise en œuvre d’outils centralisés de gestion des correctifs pour faciliter le processus et réduire le risque de compromission.

La semaine dernière, de nouveaux renseignements de Mandiant ont révélé que les acteurs de la menace exploitaient les CVE zero-day divulgués à plus du double du volume record précédent en 2021, les groupes parrainés par l’État étant les principaux acteurs les utilisant, suivis de près par les gangs de ransomwares à motivation financière. Notez que bien que tous les CVE ne soient pas un jour zéro, chaque jour zéro est, ou sera bientôt, un CVE.

Mandiant a déclaré que cette vaste augmentation de l’exploitation zero-day et la diversification de ceux qui les utilisent ont élargi le portefeuille de risques pour les organisations de tous les secteurs et de toutes les zones géographiques.

« Nous suggérons qu’un certain nombre de facteurs contribuent à la croissance de la quantité de jours zéro exploités », a écrit James Sadowski de Mandiant. « Par exemple, la poursuite de l’évolution vers l’hébergement cloud, le mobile et l’Internet des objets [IoT] Les technologies augmentent le volume et la complexité des systèmes et des appareils connectés à Internet – en termes simples, plus de logiciels entraînent plus de failles logicielles.

« L’expansion du marché des courtiers en exploitation contribue également probablement à cette croissance, avec davantage de ressources consacrées à la recherche et au développement de zero-days, à la fois par des entreprises privées et des chercheurs, ainsi que par des groupes de menaces. Enfin, les défenses améliorées permettent probablement aux défenseurs de détecter plus d’exploitation zero-day maintenant que les années précédentes, et de plus en plus d’organisations ont resserré les protocoles de sécurité pour réduire les compromissions par d’autres vecteurs.