Un nouveau vecteur pour exploiter une version vulnérable de Google SLO Generator a été découvert, ce qui facilite l’exécution de code à distance (RCE). Il permet à un attaquant d’accéder au système et de déployer du code malveillant comme s’il provenait d’une source fiable à l’intérieur du réseau.
Google SLO Generator est une bibliothèque Python largement utilisée par les ingénieurs qui souhaitent suivre les performances de leur API Web. L’outil est utilisé par des milliers de services Google, mais avant un correctif de septembre 2021, il abritait des fonctions dangereuses et exploitables, exposant potentiellement les données d’entrée des utilisateurs.
Michael Assraf, co-fondateur et PDG de Vicarius, explique que cette voie vers l’exploitation était auparavant inconnue et a créé une nouvelle façon d’exploiter des versions obsolètes pour des résultats pires que la simple divulgation d’informations.
On ne sait pas combien des plus de 167 000 applications utilisant cette bibliothèque exécutent des versions vulnérables, selon Vicarius, qui a publié un rapport détaillant le chemin d’attaque. Les utilisateurs qui ont mis à jour le code ne seront pas exposés à cette attaque, mais cela dit, les vulnérabilités non corrigées restent le moyen le plus courant d’attaquer les entreprises avec succès.
Assraf soulève également la question des solutions de contournement potentiellement problématiques alors que les chercheurs en sécurité découvrent de nouveaux vecteurs pour exploiter les instances logicielles vulnérables. Les développeurs utilisent souvent des solutions de contournement pour se protéger contre les exploits connus plutôt que de déployer une mise à jour/un correctif systématique.
« Les développeurs qui entrent dans cette catégorie seront vulnérables à ce nouvel exploit, ainsi que tous ceux qui n’ont pas encore déployé le correctif », dit-il.
Des millions d’appareils non corrigés restent un problème
Les vulnérabilités accessibles de l’extérieur devraient rester un vecteur d’attaque favori des cybercriminels à l’avenir. Un rapport Publié cette semaine par Rezilion a révélé que des vulnérabilités aussi vieilles qu’une décennie n’ont toujours pas été corrigées dans les logiciels et les appareils connectés à Internet.
L’étude a identifié plus de 4,5 millions d’appareils connectés à Internet qui restent ouverts aux vulnérabilités découvertes entre 2010 et 2020. Le rapport a également identifié des tentatives d’analyse/exploitation actives dans la plupart de ces vulnérabilités.
Yotam Perkal, directeur de la recherche sur les vulnérabilités chez Rezilion, explique qu’il existe de multiples raisons pour lesquelles les vulnérabilités non corrigées sont si courantes.
« Tout d’abord, de nombreuses organisations disposant de programmes de sécurité moins matures n’ont même pas de visibilité sur les vulnérabilités qu’elles présentent dans leur environnement », explique-t-il. « Sans les processus d’outillage et de gestion des vulnérabilités appropriés en place, ils sont fondamentalement aveugles au risque et ne peuvent pas corriger ce qu’ils ne savent pas. »
Deuxièmement, même pour les organisations dont les processus de gestion des vulnérabilités sont matures, l’application de correctifs présente un défi : elle nécessite du temps et des efforts considérables et peut souvent entraîner des problèmes imprévus de compatibilité des correctifs.
« Avec l’augmentation constante du nombre de nouvelles vulnérabilités découvertes chaque année, les organisations ont tout simplement du mal à suivre le rythme », explique-t-il.
Les vulnérabilités non corrigées constituent un problème de sécurité majeur
Assraf appelle les vulnérabilités non corrigées l’un des problèmes de sécurité les plus importants, les plus répandus et les plus réparables à tous les niveaux, et pour une multitude de raisons.
« Ce problème transcende l’industrie et la taille de l’entreprise, bien que les grandes entreprises soient généralement plus vulnérables en raison du volume de systèmes et d’utilisateurs en place », ajoute-t-il.
Il souligne qu’il y a aussi de nouvelles vulnérabilités qui apparaissent quotidiennement, donc la gestion des « vulnérabilités zéro » est un peu une chimère.
En outre, les mises à jour à grande échelle cassent parfois les choses et créent des conséquences imprévues et des problèmes de compatibilité, laissant beaucoup de gens prendre une position de « Si ce n’est pas cassé, ne le réparez pas ».
« Le problème, c’est qu’il est cassé, vous ne voyez tout simplement pas la faille dans l’armure jusqu’à ce que vous ayez été violé », prévient Assraf. « D’autres problèmes courants concernent la visibilité, le shadow IT et les équipes distribuées qui entraînent des complications en matière de propriété. »
De son point de vue, la visibilité est la première étape pour maîtriser les vulnérabilités et les correctifs, car vous ne pouvez pas réparer ce que vous ne savez pas être cassé.
« Disposer d’un inventaire précis et continuellement mis à jour de tous les actifs et appareils de votre environnement est une première étape essentielle », explique-t-il.
Ensuite, il faut savoir comment hiérarchiser les mises à jour disponibles pour ces systèmes et actifs, ce qui est un endroit commun où les entreprises ne sont pas à la hauteur et où le volume commence à devenir juste du bruit.
Perkal dit qu’il pense que le point clé pour avoir une posture plus proactive face aux risques de vulnérabilité non corrigéeies est la sensibilisation.
« Une fois que vous êtes conscient du risque, assurez-vous d’avoir les bons processus et outils en place qui vous permettront de prendre des mesures efficaces », dit-il. « En fin de compte, l’application d’un correctif existant à une vulnérabilité connue qui est connue pour être exploitée dans la nature devrait être l’aspect facile d’une bonne hygiène de sécurité. »
Un mois de juillet rapport de l’unité 42 de Palo Alto Networks a également suggéré aux attaquants de jouer les favoris lorsqu’ils examinent les vulnérabilités logicielles à cibler.
Résolution du problème de correction avec le contexte métier
Assraf dit qu’il est courant de hiérarchiser en fonction de la criticité des principaux frameworks comme CVSS, qui attribuent des indices de gravité aux vulnérabilités connues – plusieurs fournisseurs de sécurité attribuent également leurs propres systèmes de notation de boîte noire.
« Ce qu’il est important de prendre en compte, et là où cette étape – et les fournisseurs – échouent souvent, c’est l’incapacité à prendre en compte le contexte de l’entreprise », dit-il.
Il est donc important de se concentrer sur les menaces potentielles qui auront le plus grand impact sur votre environnement numérique unique, pas nécessairement une notation tierce attribuée sans contexte.
« Les organisations les plus matures automatiseront ensuite le processus de correction en fonction de ce contexte, en mettant à jour les systèmes les plus critiques tout en minimisant les temps d’arrêt et l’impact grâce à une planification stratégique du déploiement », explique Assraf.
Perkal souligne que la plupart du code en cours d’exécution dans une organisation provient de divers tiers, qu’ils soient open source ou commerciaux.
« Bien que cela permette aux organisations de se concentrer sur leur logique métier de base et de publier du code plus rapidement, cela introduit également un risque de sécurité sous la forme de vulnérabilités logicielles », explique-t-il. « Tout corriger n’est tout simplement pas faisable. »
Selon lui, pour être en mesure de faire face efficacement au risque, les plates-formes de gestion de surface d’attaque qui peuvent hiérarchiser intelligemment les vulnérabilités les plus importantes, ainsi que d’automatiser certains des aspects d’atténuation et de correction, peuvent aider à faire face à ce risque.
« L’aspect le plus préoccupant que j’ai tiré de la recherche est que ces vulnérabilités anciennes, connues et exploitables sont toujours aussi omniprésentes », ajoute-t-il. « C’est particulièrement préoccupant car il est probable que la même analyse que nous avons faite est également menée par des attaquants, et en laissant cette énorme surface d’attaque vulnérable, nous leur facilitons la vie. »