Gestion des correctifs : la situation peu rassurante des grandes entreprises

Le moteur de recherche spécialisé Onyphe a récemment évolué pour permettre de filtrer ses résultats sur les plus grandes entreprises au monde, celles qui figurent aux prestigieux classements Global500 et Fortune500. Et les éléments que renvoient ces filtres ne sont pas glorieux. Au total, il faut ainsi compter sur encore 15 systèmes Citrix Netscaler Gateway affectés par la vulnérabilité CVE-2019-19871 exposés sur Internet, mais aussi 659 Cisco ASA concernés par la CVE-2020-3452, tout de même 5 serveurs VPN Pulse Secure, ou encore près de soixante systèmes SAP touchés par la vulnérabilité CVE-2020-6287.

La vulnérabilité CVE-2019-19871, dite Shitrix, n’est plus à présenter. Plusieurs victimes de ransomware cette année ont, à un moment ou un autre, exposé des systèmes affectés par cette vulnérabilité sur Internet : Chubb, Conduent, Pitney Bowes, ISS World, Bretagne Telecom, ou encore Faro, Honda et Enel.

Pour les VPN Pulse Secure, on parle de la CVE-2019-11510, une vulnérabilité connue désormais depuis longtemps et le Cert-FR alertait encore dessus à l’été 2019. Et l’appel n’a été entendu, pour beaucoup, que bien après. Fin décembre dernier, Travelex, par exemple, exposait encore un service VPN Pulse Secure vulnérable.

La vulnérabilité CVE-2020-3452 permet d’accéder à des fichiers dans le système de fichier des services Web du système Cisco ASA affecté. L’équipementier l’explique lui-même : « cela peut permettre à un attaquant de se faire passer pour un autre utilisateur du VPN et établir une connexion VPN SSL sans client, ou avec AnyConnect », sur le système concerné, en se faisant passer pour ledit utilisateur. L’exploitation de la vulnérabilité a commencé tout juste quelques heures après qu’elle a été dévoilée.

La vulnérabilité CVE-2020-6287, dite RECON, a été dévoilée par Onapsis dans le courant de l’été. Elle permet à un attaquant non authentifié d’obtenir « un accès complet au système SAP affecté » : « cela recouvre la possibilité de modifier des enregistrements financiers, de voler des informations personnelles d’employés, de clients et de fournisseurs, de corrompre des données, de modifier ou effacer logs et traces, et d’autres actions encore qui peuvent menacer des opérations métiers critiques, la cybersécurité, et la conformité réglementaire ».

Sur l’échantillon observé, Onyphe recense un total d’environ 200 entreprises différentes. Cerise sur le gâteau : parmi ces entreprises figure l’un des équipementiers à l’origine des systèmes concernés. Et encore, ces éléments ne représentent qu’une partie de ce qui est potentiellement visible.

Pour Patrice Auffret, fondateur d’Onyphe, ces éléments soulignent le décalage entre, d’un côté, des cyber-délinquants qui vendent et achètent des accès obtenus notamment en exploitant des vulnérabilités, et, de l’autre, des entreprises qui investissent encore trop peu pour surveiller la surface d’attaque qu’elles exposent.