Le nombre de vulnérabilités rendues publiques a explosé depuis 2015

Au cours des cinq dernières années, le nombre de vulnérabilités divulguées a augmenté de 183 %, selon une nouvelle étude de Tenable. L’édition 2020 de rétrospective sur le paysage de la menace, publiée la semaine dernière, donne un aperçu des principales vulnérabilités divulguées ou exploitées tout au long de l’année écoulée, ainsi que des tendances qui l’ont marquée, dont bien sûr les brèches de données et les attaques de ransomware.

Le rapport a été compilé par trois membres de l’équipe de sécurité de Tenable – Scott Caveza, directeur de l’ingénierie de recherche, Satnam Narang et Rody Quinlan, tous deux ingénieurs de recherche – et comprend des données et des divulgations jusqu’au 31 décembre 2020.

Les chercheurs ont mis le doigt sur des données inquiétantes concernant les CVE, ces références associées à des vulnérabilités, en termes de nombre mais aussi et surtout d’absence de correctifs. Au total, 18 358 nouveaux CVE ont été attribués en 2020. Selon le rapport, entre 2 015 et fin 2020, le nombre de CVE attribués a augmenté suivant un taux de croissance annuel moyen de 36,6 %.

Ainsi, relèvent les auteurs, « les 18 358 CVE déclarés en 2020 représentent une augmentation de 6 % par rapport aux 17 305 déclarés en 2019 et une augmentation de 183 % par rapport aux 6 487 divulgués en 2015 ». Pour eux, « le fait que, ces trois dernières années, nous ayons vu plus de 16 000 CVE déclarés chaque année reflète une nouvelle norme en matière de divulgation des vulnérabilités ». Ce qui ne serait pas nécessairement une mauvaise nouvelle… lesdites vulnérabilités étant corrigées.

Las, selon le rapport, les vulnérabilités non corrigées constituent un problème bien plus important que les inédites, les fameuses zero-day, qui s’attirent tant d’attention. : « ce fruit à portée de main a les faveurs des acteurs des États-nations et des simples cybercriminels. Alors que les vulnérabilités zero-day sont souvent exploitées dans le cadre d’attaques ciblées, les vulnérabilités non corrigées sont visées en masse, ce qui représente une menace bien plus importante ».

Jay Chen, de la division 40 de Palo Alto Networks, ne trouverait sûrement rien à redire là : l’été dernier, il s’est penché sur l’exploitation publique des CVE. À ce moment-là, 26 % des exploits connus correspondaient à un CVE. 14 % de ces exploits étaient des zero day, mais en moyenne un exploit apparaît publié 37 jours après la sortie du correctif. Reste que selon les travaux de Jay Chen, les 80 % de ces exploits correspondant à un CVE sont publics avant que le CVE ne soit attribué. Avec une avance de 23 jours en moyenne.

« Le coût associé au développement d’un exploit [...], est prohibitif alors qu’il y a tous ces systèmes non patchés affectés par les vulnérabilités pour lesquelles des PoCs sont publics. »

Pour Satnam Narang, les acteurs malicieux ont intérêt à prendre les démonstrateurs (PoC) existants pour les vulnérabilités divulguées et à les intégrer dans leurs attaques, plutôt que d’essayer de découvrir des vulnérabilités inédites : « c’est l’une des raisons pour lesquelles les alertes gouvernementales disent que les zero days sont importants et précieux pour les attaquants. Car le coût associé au développement d’un exploit pour une telle vulnérabilité, en temps comme en énergie, est prohibitif alors qu’il y a tous ces systèmes non patchés affectés par les vulnérabilités pour lesquelles des PoCs sont publics. C’est comme une évidence ».

La disponibilité d’un démonstrateur public est un facteur important pour décider de corriger et de l’urgence avec laquelle le faire. Et cela même si de nombreuses équipes de sécurité s’appuient uniquement sur le système commun de notation des vulnérabilités (CVSS). Le système est noté de 1 à 10, 10 étant la note la plus critique. Les CVE reçoivent un score CVSS, voire même un nom et un logo. Mais, selon le rapport de l’équipe de Tenable, certaines vulnérabilités graves sont éclipsées par les plus connues.

Les auteurs déplorent ainsi que « les vulnérabilités qui font les gros titres aient tendance à être celles qui attirent le plus l’attention des médias et des chefs d’entreprise, ce qui met la pression sur les professionnels de la sécurité pour qu’ils réagissent même si la menace pour l’entreprise est faible ».

Mais loin des projecteurs, « notre examen des vulnérabilités les plus en vue en 2020 révèle que toutes les vulnérabilités critiques n’ont pas un nom et un logo. Inversement, toutes les vulnérabilités ayant un nom et un logo ne devraient pas être considérées comme critiques ».

Satnam Narang ne dit pas que les notes CVSS soient inutiles, loin de là. Mais pour lui, il est important d’aller au-delà et d’entrer dans les détails : « chaque fois que vous voyez un CVSS 10, c’est un moyen sûr de savoir que vous devez laisser tomber ce que vous faites et vous en occuper le plus vite possible. Mais tous les titres ou toutes les vulnérabilités dignes d’intérêt ne nécessiteront pas la même attention. Un exemple que nous citons est le Boothole. Il s’agit d’une vulnérabilité qui a reçu un logo et un nom, et qui affecte les périphériques Linux et Windows, en contournant le démarrage sécurisé. C’est une vulnérabilité intéressante, mais dans l’ensemble, ce n’est probablement pas la chose la plus grave dont vous devez vous inquiéter ».

Car il y a des vulnérabilités critiques qui ont reçu moins d’attention. Satnam Narang relève notamment certaines de celles qui ont été découvertes et corrigées dans Oracle Web Logic : « celles-ci sont exploitées dans la nature. Elles n’ont pas de nom, mais elles sont en fait assez graves aussi ».

Pour les chercheurs de Tenable, l’accélération du rythme des découvertes de vulnérabilités relève d’une nouvelle normalité. Cela peut résulter de l’augmentation du nombre de chercheurs, de chasseurs de bugs et d’entreprises qui ouvrent des bugs bounties. Pour Satnam Narang, c’est d’ailleurs « un facteur majeur » : « je pense que la valeur des programmes de bug bounty et l’incitation des chercheurs à trouver et à divulguer les vulnérabilités jouent un rôle important. Et au final, on se retrouve simplement avec plus de personnes cherchant des bugs ».

L’accélération du rythme des découvertes de vulnérabilités ne va toutefois pas sans exercer une pression supplémentaire, et rarement bienvenue, sur les processus de gestion des correctifs des entreprises – lorsqu’ils existent. Car cela ne fait pas de doute : les vulnérabilités non corrigées laissent les données et les systèmes à la merci des attaquants, « représentant des opportunités lucratives pour les acteurs du rançongiciel ».

C’est donc sans surprise que les vulnérabilités de 2019 continuent de préoccuper les équipes de Tenable, et en particulier celles qui affectent des systèmes permettant d’accéder à distance au système d’information et ses ressources. Dans le Top 5 de l’éditeur pour 2020, trois vulnérabilités sont en fait antérieures : CVE-2018-13379 pour Fortinet FortiOS SSL VPN Web Portal Information, CVE-2019-11510, pour Pulse Connect Secure, et CVE-2019-19781 pour Citrix/Netscaler Gateway. De fait, ces vulnérabilités ont été exploitées dans de nombreuses attaques de ransomware en 2020.