Support technique
Documentation
Connexion
Nous contacter
Une vulnérabilité est exploitée toutes les deux heures et les attaquants peuvent provoquer des perturbations, des temps d'arrêt et des pertes de revenus considérables. Avant de se plonger dans le savoir-faire en matière de correctifs pour le cloud, il est impératif de connaître les dix vulnérabilités les plus couramment exploitées et la manière dont elles peuvent être évitées à l'aide d'outils de renseignement sur les menaces et d'évaluation des vulnérabilités.
Les 10 vulnérabilités les plus couramment exploitées
-
ProxyLogon (CVE-2021-26855)
ProxyLogon est une vulnérabilité dans le serveur Microsoft Exchange qui a permis aux attaquants d'exploiter et d'exposer plus de 6000 serveurs MS Exchange. Les attaquants ont eu accès à des détails confidentiels tels que des conversations par courrier électronique. Les attaquants ont également été en mesure d'installer des shells web sur 6000 serveurs MS Exchange pour une exploitation plus poussée par le biais d'un port 443 ouvert.
Cela permettrait l'exfiltration de données, c'est-à-dire le transfert malveillant et non autorisé de données d'un ordinateur à un autre. La vulnérabilité exploitée étant couverte par les CVE-2021- 26855, 26857, 26858, 26858 et 27065, elle a permis aux attaquants d'exploiter plusieurs serveurs sans y avoir accès.
-
Zerologon (CVE-2020-1472)
En septembre 2020, Tom Tervoort, chercheur à la firme Secura, annonce la faille Zerologon. Bien que Microsoft ait corrigé la faille en août, de nombreux serveurs et entreprises sont restés vulnérables. Le problème de la faille Zerologon est qu'un attaquant capable d'exploiter une vulnérabilité peut également créer une exécution de code à distance (RCE) unique. Cela est dû à l'utilisation incorrecte du mode de fonctionnement AES,
Avec cette vulnérabilité exploitée dans les serveurs MS, un attaquant pourrait également prendre l'avantage sur le serveur racine et le serveur de domaine.
-
Log4Shell (CVE-2021-44228)
Les attaquants utilisent activement ce RCE pour exploiter une vulnérabilité. Cela en fait également l'un des types de vulnérabilité les plus dangereux et les plus volatiles, car il permet aux pirates de prendre le contrôle total des serveurs sur l'internet. Cette vulnérabilité est utilisée par les cybercriminels pour installer les logiciels suivants Cobalt Strike afin d'exfiltrer des données et de commettre des vols d'identifiants.
La dernière étape de l'exploitation de la vulnérabilité a été l'utilisation de ransomware pour voler et vendre des données. Cette vulnérabilité peut avoir un impact significatif sur les entreprises et exposer leurs actifs et infrastructures internes.
Souvent, les entreprises subissent des temps d'arrêt et des perturbations importants en raison d'une approche réactive des correctifs pour le cloud plutôt que d'une approche proactive. Mais cela peut être évité en intégrant le live patching qui déploie automatiquement les correctifs sans avoir besoin de redémarrer les serveurs ou de programmer des temps d'arrêt.
-
Client VMware vSphere (CVE-2021-21972)
Cette vulnérabilité RCE a été découverte en février 2021 dans HTML5, également connu sous le nom de client VMware vSphere. vSphere peut être exploité par des attaquants car il peut être utilisé pour prendre le contrôle et exécuter des commandes et des privilèges. Avec un taux de gravité de 9,8, cette vulnérabilité permet aux systèmes d'accéder et d'extraire l'infrastructure et les secrets d'entreprise.
-
PetiPotan (CVE-2021-36942)
Cette faille a été découverte dans les serveurs Windows et permet d'intercepter des données et d'usurper l'identité des clients et du trafic sur un domaine. Cela se produit lorsque le domaine est forcé de s'authentifier auprès d'un serveur NTLM dont la médiation est assurée par l'attaquant. Cette vulnérabilité est exploitée lorsque les services de certification AD CS (Active Directory Certificate Services) ne sont pas configurés pour contrer les attaques NTLM.
-
Zoho ManageEngine ADSelfService Plus (CVE-2021-40539)
Les attaquants exploitent une vulnérabilité pour développer une entreprise, mais ce RCE n'est pas non plus difficile à armer. Puisque la faille est présente dans sa configuration par défaut, et une fois que l'authentification est contournée par les attaquants, elle peut également être utilisée pour effectuer et exécuter des commandes. Cette combinaison est activement recherchée par les attaquants pour continuer à exploiter les points d'extrémité vulnérables du produit ou du logiciel.
-
Pulse Secure Pulse Connect Secure (CVE-2019-11510)
Cette vulnérabilité affecte de manière significative les appliances Pulse Secure VPN dans lesquelles un attaquant peut envoyer un URI qui est particulièrement conçu pour exécuter des commandes telles que la lecture arbitraire de fichiers. Cette vulnérabilité exploitée par des attaquants russes et chinois a été utilisée pour cibler des campagnes spécifiques, certaines étant même liées à des données de recherche sur certains virus, comme le COVID-19.
Bien que des correctifs pour cette vulnérabilité aient été publiés pour les appareils VPN, certaines informations d'identification compromises continuent d'être victimes de cyber-attaques et de menaces.
-
Fortinet FortiOS et FortiProxy (CVE-2018-13379)
La vulnérabilité CVE-2018-13379 est exploitée depuis 4 ans. Cette vulnérabilité se trouve dans le portail web FortiProxy SSL VPN où lors de l'exploitation par des requêtes de ressources HTTP, tout attaquant peut télécharger les fichiers présents dans le système. Ce bogue est également utilisé pour les ransomwares et le vol de données. D'après les informations publiées par la CISA - Cybersecurity, and Infrastructure Security Agency - on pense que cette vulnérabilité exploitée est également utilisée par des attaquants russes et iraniens.
-
Serveur Microsoft Exchange (CVE-2020-0688)
Cette vulnérabilité RCE a été découverte pour la première fois en 2020 dans le serveur Microsoft Exchange. Les attaquants peuvent passer des fonctions arbitraires de l'application web et s'exécuter en tant que SYSTEM - L'exploitation de ce RCE permet d'activer la collecte d'emails sur des réseaux spécifiques qui sont ciblés par les attaquants. Cette vulnérabilité survient lorsque le serveur ne parvient pas à créer des clés uniques lors de l'installation.
-
Serveur et centre de données Atlassian Confluence (CVE-2021-26084)
Cette vulnérabilité a été classée comme une menace de sécurité critique car elle permet à un utilisateur non autorisé ou à un attaquant d'exécuter un code arbitraire sur un serveur Confluence, qui est déployé pour une exploitation de masse. La nature critique de ce bogue est qu'il n'a pas besoin d'un compte système valide pour mener une exploitation de masse - Il peut être fait par n'importe quel utilisateur non autorisé car le code d'exploitation public existe et est activement utilisé dans des environnements d'intégration de code compromis.
Atteindre cinq-neuf n'est pas difficile
Les cinq-neuf (99.999%) est un facteur qui incite les organisations à modifier leur approche en matière de correctifs. Cela signifie essentiellement que vos serveurs ne subissent pas de temps d'arrêt de plus de 5 minutes par an, ce qui constitue une référence phénoménale. Le live patching vous permet d'atteindre facilement avec facilité.
Si vous avez lu cet article, vous êtes maintenant conscient des risques auxquels les organisations sont confrontées chaque jour. Bien qu'il s'agisse de 10 vulnérabilités couramment exploitées, il existe une légion d'autres risques et vulnérabilités qui attendent de perturber vos serveurs et qui peuvent être frustrants à affronter et dix fois plus difficiles à traiter.
Heureusement, pour les menaces qui ciblent les vulnérabilités de Linux, les solutions de correctifs en direct de TuxCare de TuxCare. Les équipes informatiques internes analysent et déploient les correctifs de sécurité sans attendre une fenêtre de maintenance ou redémarrer l'ensemble du système.
Dans les configurations modernes d'informatique en nuage sous Linux, il est essentiel de pouvoir appliquer des correctifs sans interruption de service - et c'est exactement ce que TuxCare apporte à la table.
Contacter les experts en cybersécurité de experts en cybersécurité de TuxCare pour rationaliser l'analyse des risques et la gestion de la vulnérabilité de vos serveurs en appliquant des correctifs à Linux, en préservant les ressources informatiques et en éliminant les temps d'arrêt.
