Quelles étaient les vulnérabilités de sécurité les plus couramment exploitées dans 2021?
Un nouveau rapport publié par la CISA en coopération avec les autorités des États-Unis, Australie, Canada, Nouvelle-Zélande, et le Royaume-Uni ont révélé un avis contenant les vulnérabilités les plus exploitées dans les cyberattaques.
Si, que dit l'avis?
Les vulnérabilités les plus exploitées dans 2021
L'année dernière, à l'échelle mondiale, les acteurs de la menace ciblaient principalement les systèmes connectés à Internet, y compris les serveurs de messagerie et VPN (réseau privé virtuel) serveurs utilisant des failles de sécurité récemment révélées. Il est à noter que, pour un nombre prédominant des bugs les plus exploités, des chercheurs ou d'autres acteurs ont publié des codes de preuve de concept (PoC) dans les deux semaines suivant la divulgation de la vulnérabilité. Cette action s'avère faciliter l'exploitation par un plus large éventail d'acteurs de la menace, CISA a noté.
Les acteurs de la menace ont également continué à tirer parti des informations connues du public, anciennes failles logicielles, dont certains ont été exploités en 2020 et les années précédentes. L'exploitation d'anciennes vulnérabilités révèle le risque étendu pour les organisations qui ne parviennent pas à résoudre les problèmes de leurs produits logiciels. L'utilisation d'un logiciel qui n'est plus pris en charge par un fournisseur présente le même risque.
La liste desdites vulnérabilités comprend les éléments suivants…
CVE-2021-44228, ou l'exploit Log4Shell
CVE-2021-44228, ou le soi-disant exploit Log4Shell, affecte la bibliothèque Log4j d'Apache, un framework de journalisation open-source. Les pirates peuvent exploiter le problème en utilisant une requête spécialement conçue pour un système exposé, provoquant l'exécution de code arbitraire et la prise de contrôle complète du système. Une fois celui-ci atteint, l'auteur de la menace peut voler des informations, lancer un rançongiciel, ou mener d'autres activités malveillantes. L'exploit Log4Shell a été révélé en décembre 2021, mais son exploitation rapide et généralisée montre les capacités étendues des acteurs de la menace à militariser rapidement les failles connues et à cibler les organisations avant de les corriger, CISA a noté.
Il convient de noter que l'exploit a été exploité par la famille de rançongiciels Khonsari lors d'attaques contre des serveurs Windows.. Les mêmes attaques téléchargeaient une charge utile malveillante supplémentaire - le cheval de Troie d'accès à distance Orcus.
Les vulnérabilités ProxyLogon
Les vulnérabilités sont connues sous ces identifiants: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065. Ils affectent Microsoft Exchange Server. Les versions concernées incluent Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, et Microsoft Exchange Server 2019.
les défauts ont été utilisés dans le cadre d'une chaîne d'attaque. Pour être initié avec succès, une attaque nécessite une connexion non approuvée à un port de serveur Exchange spécifique, 443. Cette faille peut être protégée en restreignant la connexion non approuvée, ou en mettant en place un VPN pour séparer le serveur de l'accès externe. Cependant, ces astuces d'atténuation n'offrent qu'une protection partielle. La société avertit que d'autres parties de l'attaque en chaîne peuvent être déclenchées si un attaquant a déjà accès ou peut convaincre un administrateur d'exécuter un fichier malveillant.
L'exploit ProxyShell
La CISA a publié une alerte en août dernier avertissant que les cybercriminels exploitaient les soi-disant vulnérabilités ProxyShell Microsoft Exchange, connue sous le nom de CVE-2021-34473, CVE-2021-34523, et CVE-2021-31207. Une exploitation réussie permet aux pirates distants d'exécuter du code arbitraire. "Ces vulnérabilités résident dans le service d'accès client Microsoft (CAS), qui fonctionne généralement sur le port 443 dans Microsoft Internet Information Services (IIS) (par exemple, Le serveur Web de Microsoft). CAS est généralement exposé à Internet pour permettre aux utilisateurs d'accéder à leur courrier électronique via des appareils mobiles et des navigateurs Web.,” CISA a noté.
La faille critique de la confluence Atlassian
CVE-2021-26084 est une vulnérabilité dans Atlassian Confluence déploiements sur Windows et Linux. Le défaut est critique, et a été exploité pour déployer des shells Web provoquant l'exécution de mineurs de crypto-monnaie sur des systèmes vulnérables. le problème est lié à un langage de navigation objet-graphe (OGNL) injection dans le module Webwork d'Atlassian Confluence Server et Data Center. La vulnérabilité peut être exploitée par des attaquants distants en envoyant une requête HTTP spécialement conçue avec un paramètre malveillant à un serveur vulnérable. Cela pourrait alors conduire à l'exécution de code arbitraire « dans le contexte de sécurité du serveur concerné," comme l'ont souligné les chercheurs de Trend Micro lors de la divulgation.
"Trois des meilleurs 15 les vulnérabilités régulièrement exploitées ont également été régulièrement exploitées dans 2020: CVE-2020-1472, CVE-2018-13379, et CVE-2019-11510. Leur exploitation continue indique que de nombreuses organisations ne parviennent pas à corriger les logiciels en temps opportun et restent vulnérables aux cyberacteurs malveillants.,” Le conseil de CISA dit.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: