Une vulnérabilité est exploitée toutes les deux heures et les attaquants peuvent provoquer des perturbations, des temps d'arrêt et des pertes de revenus considérables. Avant de se lancer dans le savoir-faire en matière de correctifs pour le cloud, il est impératif de connaître les 10 vulnérabilités les plus couramment exploitées et de savoir comment les prévenir à l'aide d'outils de renseignement sur les menaces et d'évaluation des vulnérabilités.

Les 10 principales vulnérabilités couramment exploitées

• ProxyLogon (CVE-2021-26855)

ProxyLogon est une vulnérabilité dans le serveur Microsoft Exchange qui a permis aux attaquants d'exploiter et d'exposer plus de 6000 serveurs MS Exchange. Les attaquants ont eu accès à des données confidentielles telles que des conversations par courriel. Les attaquants ont également été en mesure d'installer des shells web sur 6000 serveurs MS Exchange pour une exploitation supplémentaire via un port 443 ouvert. 

Cela permettrait l'exfiltration de données, qui est le transfert malveillant et non autorisé de données d'un ordinateur à un autre. Comme la vulnérabilité exploitée était couverte par les CVE-2021- 26855, 26857, 26858, 26858 et 27065, elle permettait aux attaquants d'exploiter plusieurs serveurs sans y avoir accès. 

• Zerologon (CVE-2020-1472) 

En septembre 2020, Tom Tervoort, un chercheur de la société Secura, a annoncé la faille Zerologon. Bien que Microsoft ait corrigé la faille en août, de nombreux serveurs et entreprises sont restés vulnérables. Le problème avec la faille Zerologon était qu'un attaquant qui pouvait exploiter une vulnérabilité pouvait également créer un RCE (Remote Code Execution) unique. Ceci a été fait par l'utilisation incorrecte du mode d'exploitation AES, 

Avec cette vulnérabilité exploitée dans les serveurs MS, un attaquant pourrait également prendre l'avantage sur le serveur racine et le serveur de domaine. 

• Log4Shell (CVE-2021-44228)

Les attaquants utilisent activement ce RCE pour exploiter une vulnérabilité. Cela en fait également l'un des types de vulnérabilité les plus dangereux et les plus volatiles, car il permet aux pirates de prendre le contrôle total des serveurs sur Internet. Cette vulnérabilité est utilisée par les cybercriminels qui s'en servent pour installer Cobalt Strike pour exfiltrer des données et commettre des vols d'identifiants.

La dernière étape de l'exploitation de la vulnérabilité a été l'utilisation de ransomware pour voler et vendre des données. Cette vulnérabilité peut avoir un impact significatif sur les entreprises et exposer leurs actifs et infrastructures internes. 

Souvent, les entreprises subissent des temps d'arrêt et des perturbations importants en raison d'une approche réactive plutôt que proactive de l'application de correctifs au cloud. Mais cela peut être évité en intégrant le "live patching" qui déploie automatiquement les correctifs sans avoir besoin de redémarrer les serveurs ou de programmer des temps d'arrêt. 

• Client VMware vSphere (CVE-2021-21972)

Cette vulnérabilité RCE a été découverte en février 2021 dans HTML5, également connu sous le nom de client VMware vSphere. vSphere peut être exploité par des attaquants car il peut être utilisé pour prendre le contrôle et exécuter des commandes et des privilèges. Avec un taux de gravité de 9,8, cette vulnérabilité permet aux systèmes d'accéder et d'extraire l'infrastructure et les secrets d'entreprise. 

• PetiPotan (CVE-2021-36942)

Cette faille a été découverte dans les serveurs Windows et permet d'intercepter des données et d'usurper l'identité des clients et du trafic sur un domaine. Cela se produit lorsque le domaine est forcé de s'authentifier auprès d'un serveur NTLM qui est médiatisé par l'attaquant. L'exploitation de cette vulnérabilité se produit lorsque les services de certification AD CS - Active Directory ne sont pas configurés contre les attaques NTLM. 

• Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)

Les attaquants exploitent une vulnérabilité pour développer une entreprise, mais ce RCE n'est pas non plus difficile à armer. Puisque la faille est présente dans sa configuration par défaut, et une fois l'authentification contournée par les attaquants, elle peut être utilisée pour effectuer et exécuter des commandes, également. Cette combinaison est activement recherchée par les attaquants pour continuer à exploiter les points d'extrémité vulnérables du produit ou du logiciel. 

• Pulse Secure Pulse Connect Secure (CVE-2019-11510)

Cette vulnérabilité affecte de manière significative les appliances Pulse Secure VPN dans lesquelles un attaquant peut envoyer un URI qui est particulièrement fait pour exécuter des commandes telles que la lecture de fichiers arbitraires. Cette vulnérabilité exploitée par des attaquants russes et chinois a été utilisée pour cibler des campagnes spécifiques, certaines étant même liées à des données de recherche sur certains virus, comme COVID-19. 

Bien que des correctifs pour cette vulnérabilité aient été publiés pour les appliances VPN, certaines informations d'identification compromises continuent d'être victimes de cyber-attaques et de menaces. 

• Fortinet FortiOS et FortiProxy (CVE-2018-13379)

La CVE-2018-13379 est exploitée depuis 4 ans. Cette vulnérabilité se trouve dans le portail web du FortiProxy SSL VPN où lors de l'exploitation par des requêtes de ressources HTTP, tout attaquant peut télécharger les fichiers présents dans le système. Ce bug est également utilisé pour le ransomware et le vol de données. D'après les informations publiées par la CISA - Cybersecurity, and Infrastructure Security Agency - on pense que cette vulnérabilité exploitée est également utilisée par des attaquants russes et iraniens.

• Microsoft Exchange Server (CVE-2020-0688)

Cette vulnérabilité RCE a été découverte pour la première fois en 2020 dans le serveur Microsoft Exchange. Les attaquants peuvent passer des fonctions arbitraires de l'application web et s'exécuter en tant que SYSTEM - L'exploitation de ce RCE permet d'activer la collecte d'emails sur des réseaux spécifiques ciblés par les attaquants. Cette vulnérabilité se produit lorsque le serveur ne parvient pas à créer des clés uniques lors de l'installation.  

• Serveur et centre de données Atlassian Confluence (CVE-2021-26084)

Cette vulnérabilité a été classée comme une menace de sécurité critique car elle permet à un utilisateur non autorisé ou à un attaquant d'exécuter un code arbitraire sur un serveur Confluence, qui est déployé pour une exploitation de masse. La nature critique de ce bogue est qu'il n'est pas nécessaire de disposer d'un compte système valide pour effectuer une exploitation de masse - Elle peut être effectuée par n'importe quel utilisateur non autorisé puisque le code d'exploitation public existe et est activement utilisé. 

Il n'est pas difficile d'obtenir un score de 5 à 9.

Les cinq-neuf (99.999%) est un facteur qui incite les organisations à modifier leur approche des correctifs. Cela signifie essentiellement que vos serveurs ne subissent pas de temps d'arrêt de plus de 5 minutes par an, ce qui constitue une référence phénoménale. le live patching vous permet d'atteindre facilement avec facilité.

Si vous avez lu cet article, vous êtes maintenant conscient du risque auquel les organisations sont confrontées chaque jour. Bien qu'il s'agisse de 10 vulnérabilités couramment exploitées, il existe une légion d'autres risques et vulnérabilités qui attendent de perturber vos serveurs et qui peuvent être frustrants à affronter et dix fois plus difficiles à traiter. 

Heureusement, pour les menaces qui ciblent les vulnérabilités de Linux, les solutions de correctifs en direct de TuxCare peuvent aider. Les équipes informatiques internes analysent et déploient les correctifs de sécurité sans attendre une fenêtre de maintenance ni redémarrer l'ensemble du système.

Prenez contact avec les experts en cybersécurité de TuxCare pour rationaliser l'analyse des risques et la gestion de la vulnérabilité de vos serveurs en appliquant des correctifs à Linux, en préservant les ressources informatiques et en éliminant les temps d'arrêt.

Résumé

Nom de l'article

Les correctifs pour le cloud peuvent empêcher qu'une vulnérabilité soit exploitée à l'avenir

Description

Les correctifs pour le cloud computing peuvent éviter les pertes de revenus et les temps d'arrêt. Voici comment les correctifs de sécurité peuvent empêcher l'exploitation de 10 vulnérabilités majeures.

Auteur

Ananya Tiwari

Nom de l'éditeur

TuxCare

Logo de l'éditeur