La menace latente des produits de sécurité périphérique
Partager
L'internet est sombre et plein de terreurs, un fait qui a été mis en évidence ces dernières semaines par le flux constant de vulnérabilités graves dans les produits de sécurité de pointe. Ces mêmes produits qui sont censés protéger les réseaux contre les menaces sont devenus les cibles préférées des attaquants, qui les considèrent souvent comme des points d'entrée faciles dans ces environnements.
Depuis 2021, l'exploitation des dispositifs périmétriques comme moyen d'accès initial a contrebalancé la croyance conventionnelle selon laquelle l'hameçonnage est le vecteur d'intrusion le plus courant. La divulgation régulière de graves vulnérabilités dans les dispositifs périphériques, tels que les appareils VPN et les services de transfert de fichiers, en a fait un vecteur attrayant pour les acteurs de la menace impliqués dans la chasse au gros gibier (Big-Game Hunting - BGH). Grâce à l'exploitation massive de ces systèmes vulnérables, les acteurs de la menace peuvent ensuite rechercher des organisations spécifiques qui correspondent à leur profil cible, comme les sociétés à forte valeur nette pour les acteurs des ransomwares.
Au cours des deux derniers mois, l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté sept vulnérabilités dans des dispositifs de sécurité à son catalogue de vulnérabilités connues et exploitées (KEV). Plusieurs de ces bogues impliquent une forme de contournement de l'authentification qui permet à un adversaire d'obtenir un accès privilégié au dispositif ou même d'exécuter des commandes arbitraires. Cette semaine, des vulnérabilités de contournement d'authentification dans les produits de sécurité de Palo Alto Networks(CVE-2025-0108) et de SonicWall(CVE-2024-53704) ont été ajoutées au KEV. Fin janvier, CISA a ajouté au KEV une autre faille critique d'exécution de code à distance(CVE-2024-23006) dans le VPN Secure Mobile Access de SonicWall.
C'est un véritable buffet de vulnérabilités dans lequel les attaquants peuvent puiser, et cela n'inclut même pas le menu beaucoup plus large des bogues dans les dispositifs de sécurité qui ne sont pas encore connus pour avoir été exploités. Par exemple, la semaine dernière, Ivanti a révélé quatre vulnérabilités critiques dans ses produits Connect Secure, Policy Secure et Cloud Services Appliance, qui sont tous très populaires dans les entreprises. Lesdonnées de Censys montrent que plus de 14 000 appareils Connect Secure exposent une version qui pourrait être vulnérable à trois de ces failles (CVE-2025-22467, CVE-2024-38657 et CVE-2024-10644). De nouvelles données compilées par l'éditeur de solutions de sécurité Darktrace montrent que 40 % des activités d'exploitation de l'année dernière ont ciblé des dispositifs orientés vers l'internet tels que des pare-feu, des routeurs, des appareils VPN et autres. Plus récemment, des chercheurs du groupe Insikt de Recorded Future ont observé Salt Typhoon, un acteur soutenu par l'État chinois, en train d'exploiter des vulnérabilités connues dans le logiciel IOS XE de Cisco dans le cadre d'une campagne visant des entreprises de télécommunications aux États-Unis.
La CISA, le FBI et d'autres agences fédérales ont mis en garde à plusieurs reprises les défenseurs des entreprises contre les activités d'acteurs chinois, russes et nord-coréens ciblant ces bogues. En janvier, la CISA a détaillé des campagnes menées par des acteurs anonymes qui ont enchaîné plusieurs vulnérabilités d'Ivanti dans des attaques contre au moins trois organisations distinctes. Les adversaires sont très attentifs aux rapports publics sur les vulnérabilités - en plus de faire leurs propres recherches sur les vulnérabilités dans certains cas - et savent que non seulement ces dispositifs sont largement déployés, mais qu'ils ont souvent des consoles de gestion exposées à Internet, ce qui les rend mûrs pour l'exploitation. Les cibles sont nombreuses.
Pour les défenseurs, les produits de sécurité périphérique tels que les pare-feu, les VPN et autres sont devenus une arme à double tranchant. Ce sont des éléments nécessaires de l'architecture de sécurité d'un réseau d'entreprise, mais ils peuvent constituer un sérieux handicap s'ils ne sont pas configurés correctement et s'ils ne sont pas surveillés et mis à jour régulièrement. Ce dernier point peut être particulièrement délicat, car la plupart des administrateurs ne sont pas très enclins à mettre les produits de sécurité hors ligne pour les mettre à jour, ce que les adversaires savent bien et sont heureux d'utiliser à leur avantage.
Rester au fait des rapports de vulnérabilité et des mises à jour des dispositifs de sécurité peut s'avérer une tâche ardue, même pour les équipes de sécurité disposant de ressources suffisantes, mais l'importance de cette tâche n'a jamais été aussi évidente. L'utilisation d'un outil tel que Attack Surface Management de Censys, qui surveille les surfaces de réseau externes et aide à découvrir les faiblesses cachées, est un moyen d'accroître ces efforts. Si la mise à jour immédiate n'est pas toujours possible, il faut mettre en œuvre toutes les mesures d'atténuation possibles pour réduire la menace, par exemple en limitant l'accès aux interfaces de gestion. Les pirates vont pirater, mais nous pouvons faire de notre mieux pour leur rendre la tâche aussi difficile que possible.
