Sur Internet, tout ce qui est ancien est à nouveau exploitable
Partager
Suivre le flux constant de révélations de vulnérabilités et d'exploits "zero day" est une tâche sisyphéenne que même les équipes de sécurité les mieux dotées en ressources ne peuvent pas assumer de manière réaliste. Et tandis que les nouveaux bugs brillants attirent l'attention et les clics, de nouvelles données sur les activités d'exploitation de masse montrent que de nombreux attaquants ciblent régulièrement des vulnérabilités connues plus anciennes, dont beaucoup datent de plus de cinq ans, et qu'ils ont beaucoup de succès.
Dans son nouveau rapport sur l'exploitation massive de l'Internet, nos amis de GreyNoise ont constaté que les vulnérabilités héritées étaient parmi les plus fréquemment ciblées par les attaquants en 2024, représentant une part importante de l'activité d'exploitation observée contre les CVE l'année dernière. Bon nombre de ces failles anciennes datent de 2016, voire plus, ce qui correspond à ce que de nombreux chercheurs et défenseurs de la sécurité pensent déjà : Les anciens bugs peuvent être tout aussi gênants que les nouveaux.
Prenons l'exemple de CVE-2017-9841. Il s'agit d'une faille d'exécution de code à distance assez simple et facile à exploiter dans le framework de test PHPUnit, qui est publique depuis plusieurs années. Les mises à jour pour la corriger sont disponibles depuis sept ans, et pourtant les tentatives d'exploitation de cette vulnérabilité se poursuivent sans relâche.
"Bien qu'il s'agisse d'une vulnérabilité vieille de 7 ans, le RCE de PHPUnit (CVE-2017-9841) reste activement exploité en 2024, car il ne nécessite qu'une requête HTTP POST de base pour exécuter du code PHP arbitraire, ce qui le rend idéal pour les attaques automatisées. Sa présence dans des applications largement utilisées telles que les plugins WordPress, les modules Drupal et Moodle lui confère une empreinte considérable sur l'internet. La persistance de la vulnérabilité est encore amplifiée par son intégration dans les chaînes d'attaque modernes, notamment par le biais du logiciel malveillant Androxgh0st qui combine cet exploit hérité avec des vulnérabilités plus récentes telles que CVE-2024-4577", explique le rapport de GreyNoise.
La simplicité et l'efficacité sont des propriétés très recherchées pour les exploits, et lorsque la vulnérabilité ciblée est publique depuis si longtemps, les attaquants ont eu de nombreuses occasions d'affiner leurs techniques. Dans cette optique, il n'est pas surprenant que les deux CVE les plus ciblés datent respectivement de 2014 et de 2018 : CVE-2014-8361, la faille UPnP de Realtek Miniigd, et CVE-2018-10561, le ver du routeur GPON.
"Alors qu'un scotch single-malt bien conçu peut se bonifier avec l'âge, il n'en va pas de même pour les CVE. 40 % des CVE exploités observés en 2024 ont été publiés en 2020 ou avant, et environ 10 % en 2016 ou avant, CVE-1999-0526 ayant ancré de manière permanente presque tous les tracés temporels de CVE en 1997. Enfin, un peu plus de 13 % des CVE exploités en 2024 ont été publiés en 2024", indique le rapport.
"Les acteurs de la menace continuent d'exploiter avec succès les vulnérabilités "anciennes", probablement parce qu'ils savent que de nombreuses organisations ont du mal à mettre en place des programmes complets de gestion des vulnérabilités. L'exploitation continue de CVE vieux de plusieurs dizaines d'années suggère que "patcher les nouveaux trucs" est une stratégie qui a échoué, et qu'un inventaire approprié des actifs, une gestion de la configuration et une correction systématique des vulnérabilités doivent être des éléments essentiels de tout programme de cybersécurité."
Si ces anciens bogues continuent d'attirer l'attention des attaquants, les données de GreyNoise révèlent que les adversaires n'hésitent pas à exploiter de nouvelles vulnérabilités, en particulier dans les dispositifs de sécurité en périphérie. Comme nous l'avons écrit le mois dernier, les dispositifs de sécurité en périphérie sont devenus une cible importante pour de nombreux adversaires, les produits Connect Secure et Pulse Secure d'Ivanti en étant des exemples clés.
Les antécédents d'Ivanti en 2024 montrent un schéma inquiétant de vulnérabilités critiques dans l'ensemble de son portefeuille de produits, avec de nombreux cas d'exploits de type "zero-day" découverts dans la nature avant que les correctifs ne soient disponibles. Les produits VPN et de sécurité de l'entreprise ont été ciblés par des acteurs étatiques et des cybercriminels, ce qui a entraîné la compromission d'agences gouvernementales, d'entreprises de défense et de sociétés Fortune 500", indique GreyNoise dans son rapport.
L'exploitation des vulnérabilités n'est plus une simple affaire de hasard. Les cybercriminels et les équipes APT procèdent désormais à une exploitation à grande échelle, et le volume de cette activité ne va cesser d'augmenter. Les défenseurs des entreprises devraient donner la priorité à la correction des vulnérabilités divulguées publiquement aussi rapidement que possible, sans oublier les anciennes vulnérabilités familières.
