De l’exécution de code à distance à la traversée de répertoire en passant par l’élévation de privilèges et les contournements de sécurité, l’exploitation des vulnérabilités logicielles est la spécialité des hackers. Depuis douze mois, nous constatons qu’un certain nombre de nouvelles failles sont exploitées dans les attaques dirigées contre les entreprises et dans le même temps certaines, mises en évidence dès 2017, continuent à être couramment exploitées dans des environnements où les entreprises ont omis d’appliquer les correctifs nécessaires. Quelles sont ces 15 vulnérabilités les plus fréquemment dirigés contre les entreprises à l’heure actuelle ?
1. Log4Shell (CVE-2021-44228)
À la première place, on retrouve la fameuse faille dans la bibliothèque de journalisation Apache Java, Log4j, révélée pour la 1ère fois en fin d’année 2021. Provoquant l’exécution de code à distance, cette vulnérabilité est largement exploitée en raison de la fréquence d’utilisation de la bibliothèque Log4j dans les applications web. Nombre d’entreprises et d’administrateurs réseau ont découvert, non sans surprise, que leur stack logiciel en était d’ailleurs tributaire. Dès que les détails de cette vulnérabilité ont été révélés, les entreprises se sont empressées d’évaluer leur degré d’exposition et d’appliquer des correctifs en temps voulu — un processus qui n’a pas été de tout repos puisque les chercheurs ont découvert entre-temps que les premiers correctifs étaient inadaptés. Néanmoins, le fait que Log4Shell arrive en tête de liste des vulnérabilités les plus couramment exploitées prouve que de nombreuses entreprises n’ont toujours pas pris les mesures adéquates.
2. Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)
Zoho ManageEngine ADSelfService Plus, jusqu’à la version 6113 incluse, s’est avéré vulnérable à un contournement d’authentification de l’API REST, et à l’exécution de code à distance qui en résulte. Corrigé en septembre 2021, il permet aux hackers d’utiliser des URL malveillantes de l’API REST spécialement conçues pour contourner l’authentification. Ils sont alors en mesure d’exploiter les endpoints et de mener des attaques, comme l’exécution de commandes arbitraires.
Il est d’autant plus facile d’exploiter ce bug que le logiciel est très courant en entreprise, et la faille présente dans sa configuration par défaut. Ce duo procure une réelle valeur ajoutée aux assaillants, et il n’est guère surprenant que les hackers recherchent des versions vulnérables de ce logiciel pour les exploiter contre les entreprises.
3 – 5. ProxyShell (CVE-2021-31207, CVE-2021-34473, CVE-2021-34523)
ProxyShell est un ensemble de trois vulnérabilités, dans le serveur de messagerie Microsoft Exchange, propices au contournement du mécanisme d’authentification, à l’exécution arbitraire de code à distance et à l’élévation de privilèges. Exploitées en chaîne, les vulnérabilités ProxyShell permettent aux hackers d’exécuter des commandes PowerShell malveillantes. Si leur exploitation est réussie, alors les attaquants ont la capacité de prendre le contrôle total des serveurs de messagerie Microsoft Exchange vulnérables.
6 – 9. ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
Les douze derniers mois ont été difficiles pour les entreprises utilisant le serveur Microsoft Exchange. Avant ProxyShell, fin août, il leur a fallu composer avec quatre vulnérabilités zero day activement exploitées, désignées sous le nom de ProxyLogon en mars 2021. Parmi les 15 vulnérabilités les plus couramment exploitées, ces quatre vulnérabilités occupent les quatre rangs suivants du classement, de la 6e à la 9e position, ProxyLogon affecte les versions Microsoft Exchange 2013, 2016 et 2019. Un groupe de hackers APT affilié à la Chine, HAFNIUM, semble avoir découvert et exploité ces failles en premier, elles ont depuis été prises d’assaut par une multitude d’autres pirates, car elles existent dans les configurations par défaut de logiciels d’entreprise largement déployés.
ProxyLogon permet à des pirates de contourner les mécanismes d’authentification, de consulter des e-mails et de déployer des malwares sur les réseaux d’entreprise. Au cours des premières attaques perpétrées par le groupe HAFNIUM, divers types de webshells ont été déployés et d’autres outils ont été utilisés pour faciliter le mouvement latéral, l’accès persistant et la manipulation à distance.
10. Atlassian Confluence Server et Data Center (CVE-2021-26084)
CVE-2021-26084 est une vulnérabilité critique permettant à un utilisateur non authentifié d’exécuter du code arbitraire sur les instances Confluence Server ou Data Center installés. Confluence est un service de type wiki largement déployé en environnements d’entreprise. Révélée en août 2021, cette vulnérabilité a été, et demeure, activement exploitée puisqu’elle est utilisable par des utilisateurs non authentifiés, quelle que soit la configuration. Malheureusement, le premier avis de sécurité alertant de son existence a été ignoré par nombre d’entreprises et, en septembre, USCYBERCOM communiquait sur une exploitation massive en cours.
Alors que l’on pensait initialement que cette faille n’était exploitable que par un utilisateur disposant d’un compte valide sur le système, il s’est avéré par la suite que n’importe quel utilisateur non authentifié était en mesure de déclencher cette vulnérabilité.
11. VMware vSphere Client (CVE-2021-21972)
En février 2021, VMware révèle que vSphere Client (HTML5) présente une vulnérabilité qui permet l’exécution de code à distance dans un module d’extension vCenter Server ; il attribue à cette vulnérabilité, jugée critique, un taux de gravité de 9,8.
VMware vSphere est une suite de logiciels de virtualisation de serveurs dédiés à l’infrastructure d’entreprise, qui inclut un hyperviseur ESXi et un outil de gestion vCenter. Ce logiciel est généralement situé sur les réseaux internes. L’exploitation de la vulnérabilité CVE-2021-21972 permet à un acteur malveillant, bénéficiant d’un accès réseau au port 443, d’exécuter des commandes, sans aucune restriction de privilèges, sur le système d’exploitation hôte.
12. ZeroLogon (CVE-2020-1472)
Les 15 vulnérabilités les plus couramment exploitées n’ont pas toutes été découvertes l’an dernier ; d’autres continuent à être exploitées alors même que des correctifs sont disponibles depuis longtemps. C’est notamment le cas de ZeroLogon, depuis août 2020. Révélée un mois après avoir été corrigée par Microsoft, elle peut entraîner une élévation de privilèges et s’articule autour d’une faille cryptographique dans le protocole MS-NRPC (Netlogon Remote Protocol) de Microsoft, qui touche l’Active Directory. L’exploitation de cette vulnérabilité permet à un hacker distant de créer un jeton d’authentification pour Netlogon et de définir le mot de passe de l’ordinateur du contrôleur de domaine sur une valeur connue. Les acteurs malveillants peuvent mettre à profit cette vulnérabilité pour compromettre d’autres appareils sur le réseau. Par la suite, les chercheurs ont découvert d’autres méthodes permettant de rendre ZeroLogon opérationnel, notamment en extrayant tous les mots de passe de domaine.
13. Microsoft Exchange Server (CVE-2020-0688)
Également révélée pour la première fois en 2020, la vulnérabilité CVE-2020-0688 se prête, elle aussi, à l’exécution de code à distance dans Microsoft Exchange Server lorsque le serveur ne parvient pas à créer correctement des clés uniques au moment de l’installation. Selon le CVE, la connaissance de la clé de validation permet à un utilisateur authentifié disposant d’une boîte aux lettres de transmettre des objets arbitraires à désérialiser par l’application web exécutée en tant que SYSTEM. En septembre 2020, il a été découvert que des acteurs affiliés à la Chine exploitaient la vulnérabilité CVE-2020-0688 pour exécuter du code à distance destiné à assurer la collecte d’e-mails sur les réseaux ciblés. En juillet 2021, puis en février 2022, des acteurs affiliés à la Russie ont également exploité le CVE-2020-0688 pour une élévation de privilèges et l’exécution de code à distance sur des serveurs Microsoft Exchange vulnérables.
14. Pulse Secure Pulse Connect Secure (CVE-2019-11510)
La vulnérabilité CVE-2019-11510, qui affecte les appliances VPN Pulse Secure, permet aux attaquants d’accéder aux réseaux de leurs victimes. Un hacker distant non authentifié peut envoyer une URL malveillante pour y lire des fichiers de façon arbitraire. Cette faille, exploitée à la fois par des acteurs chinois et russes, a été utilisée dans des campagnes de grande ampleur ciblant les recherches sur le COVID-19 . Des correctifs ont été publiés pour cette vulnérabilité en avril 2019 ; plusieurs incidents se sont néanmoins produits, notamment l’utilisation d’authentifiants AD compromis, plusieurs mois après que les entreprises victimes aient patché leurs équipements VPN.
15. Fortinet FortiOS et FortiProxy (CVE-2018-13379)
Quatre ans après son apparition, la vulnérabilité CVE-2018-13379 est l’une des 15 vulnérabilités les plus couramment exploitées ; de type traversée de répertoire, elle concerne le portail web VPN FortiProxy SSL. En cas d’exploitation, ce bug peut permettre à un assaillant distant non authentifié de télécharger des fichiers système FortiProxy via des requêtes HTTP spécialement conçues. Comme on peut s’y attendre d’une vulnérabilité exploitée depuis plus de quatre ans, elle a une longue histoire et a été utilisée aussi bien pour déployer des rançongiciels que pour dérober des données.
Les équipes de sécurité en entreprise savent que les anciennes vulnérabilités ne disparaissent jamais. Il importe de garder à l’esprit que, du point de vue de l’assaillant, le ciblage d’anciennes failles demeure un vecteur d’attaques efficace et nécessite moins de travail que la découverte de nouvelles vulnérabilités zero day, en particulier lorsque des rapports sont disponibles en libre-accès pour exploiter les failles les plus critiques.