Vulnérabilités : un millésime 2021 exceptionnel

Le NIST américain vient de publier ses statistiques relatives à la distribution des vulnérabilités suivant leur sévérité au fil du temps. La figure a de quoi impressionner : avec près de 19 000 vulnérabilités révélées, 2021 a des airs d’année record, tout en s’inscrivant dans la continuité des trois années précédentes.

Si la progression du nombre total de vulnérabilités dévoilées chaque année est augmentation constante depuis 2017, le nombre de celles qui affichent une sévérité élevée est en recul significatif en 2021 par rapport à 2020, à 3784 contre 4381. Plus encourageant encore : depuis 2017, ce chiffre n’avait jamais été aussi bas. Mais il convient de modérer tout tentation d’enthousiasme.

De fait, une trentaine de vulnérabilités critiques rendues publiques en 2021 sont aujourd’hui exploitées dans le cadre d’attaques avec ransomware, jusqu’à la toute récente Log4Shell. Au total, le chercheur présent sur Twitter avec le compte pancak3lullz a consolidé une liste de 55 vulnérabilités ainsi utilisées de manière offensive par les cyberdélinquants. Onze d’entre elles datent de 2020, contre 9 de 2019.

Sur ce front, Microsoft Exchange – et ses administrateurs – a connu une année pour le moins mouvementée. Les vulnérabilités l’affectant, surnommées ProxyLogon et ProxyShell, ont fait couler beaucoup d’encre et n’ont pas manqué d’être largement exploitées par des cyber-délinquants. Microsoft a, début novembre, alerté sur une autre, la CVE-2021-42321. Mais ce ne sont pas les seules.

Dans leur rapport Ransomware Index Spotlight pour le 3^e trimestre 2021, Ivanti, Cyber Security Works et Cyware, relevaient une augmentation de 4,5 % du nombre de vulnérabilités exploitées dans le cadre d’attaques avec ransomware, par rapport au trimestre précédent. Et de préciser : « 12 nouvelles vulnérabilités liées à un ransomware pour le 3^e trimestre 2021, ce qui fait un total de 278 vulnérabilités liées au ransomware. Parmi les 12 vulnérabilités nouvellement associées au ransomware, 5 permettent l'exécution de code à distance ». 

Commentant l’exploitation de la vulnérabilité CVE-2021-26084, affectant les serveurs Confluence d’Atlassian, Bernard Montel, directeur technique et stratège en sécurité de Tenable, pour la région EMEA, soulignait l’ampleur de l’enjeu : « lorsqu'il y a une vulnérabilité comme celle-ci, l'heure tourne car ce n'est qu'une question de temps avant que les acteurs de la menace ne trouvent comment l'utiliser pour monétiser leurs efforts. Dans ce cas, cette fenêtre n'était que de quelques semaines ». Et ça, c’est quand les choses se déroulent pour le mieux.

Souvent, l’exploitation démarre plus rapidement. Parfois, elle est préexistante à la publication de correctifs. Ainsi, les chercheurs de HP Wolf Security soulignaient mi-novembre que « les premières exploitations de la CVE-2021-40444, une vulnérabilité d’exécution de code à distance permettant de s’immiscer dans le moteur de navigateur MSHTML à l’aide de documents Microsoft Office, ont été relevées par HP le 8 septembre 2021, une semaine avant le correctif publié le 14 septembre ».

Et Alex Holland, analyste maliciels senior de l’équipe de HP Wolf Security, de relever que, « en moyenne, le temps nécessaire pour qu’une entreprise applique, teste et déploie entièrement les correctifs avec les vérifications appropriées est de 97 jours ». Las, « ce laps de temps confère aux cybercriminels la possibilité d’exploiter cette fenêtre de vulnérabilité ».