Étude : selon Rapid7, l’exploitation des vulnérabilités ne ralentit pas

Les attaquants continuent de développer et de déployer des exploits à un rythme alarmant, soulignant la nécessité de développer et de maintenir de solides programmes de gestion des vulnérabilités, selon une nouvelle étude de Rapid7.

L’éditeur vient de publier l’édition 2022 de Vulnerability Intelligence Report, rédigé par Caitlin Condon, directrice principale de la recherche en sécurité, Ron Bowes, chercheur principal en sécurité, et Erik Galinkin, chercheur principal en IA. Le rapport annuel est basé sur l’analyse de 50 vulnérabilités qui ont représenté un risque important pour les organisations de toutes tailles l’année dernière, dont 45 qui ont été activement exploitées, 44 % d’entre elles étant des vulnérabilités inédites, dites zero-day.

Le rapport montre clairement que les équipes de sécurité sont confrontées à des difficultés considérables lorsqu’il s’agit de garder une longueur d’avance sur les attaquants qui exploitent les vulnérabilités.

L’un des principaux points à retenir concerne ce que Rapid7 appelle le « Time to Known Exploitation » (TTKE), c’est-à-dire le délai entre la divulgation publique d’une vulnérabilité et le début de son exploitation active par des attaquants.

Si l’application de correctifs en temps voulu reste un problème en raison du manque de ressources et de divers autres facteurs, le TTKE donne un caractère d’urgence aux menaces potentielles. L’année dernière, Rapid7 a observé une augmentation du TTKE, de 12 jours seulement en 2021 à 24,5 jours.

Malgré cette apparente bonne nouvelle, les chercheurs soulignent que « les moyennes sont des créatures inconstantes » et ont relevé d’autres indicateurs alarmants. En 2021, par exemple, les chercheurs de Rapid7 ont constaté que plus de la moitié des vulnérabilités qu’ils ont suivies ont été exploitées dans les sept jours suivant leur divulgation publique, et 58 % dans les deux semaines.

« Les attaquants continuent de développer et de déployer des exploits plus rapidement que jamais », ont écrit les auteurs dans le rapport. « 56 % des vulnérabilités de ce rapport ont été exploitées dans les sept jours suivant leur divulgation publique – une augmentation de 12 % par rapport à 2021 et une augmentation de 87 % par rapport à 2020. Si nous regardons la valeur médiane au lieu de prendre la moyenne, le délai médian d’exploitation en 2022 était d’un jour sur l’ensemble des vulnérabilités que nous avons incluses dans ce rapport ».

Cette petite fenêtre a été illustrée au début de ce mois de février lorsque des attaquants ont commencé à tenter d’exploiter une vulnérabilité d’exécution de code à distance affectant FortiNAC de Fortinet référencée CVE-2022-39962, cinq jours après qu’elle ait été rendue publique.

Selon le rapport, calculer la valeur TTKE peut être difficile, car les fournisseurs ont des définitions différentes des termes « public » et « divulgué ». Pour illustrer leur propos, les chercheurs ont fait référence à une faille corrigée dans Spring Cloud Function, référencée CVE-2022-22963, qui a été publiée dans un dépôt GitHub public le 24 mars 2022, sans être proprement documentée. Akamai a signalé son exploitation à partir du 27 mars, deux jours avant la publication d’un correctif et d’un enregistrement CVE officiel.

« Nous avons choisi d’utiliser “0” pour établir la valeur TTKE pour CVE-2022-22963, car il n’est pas raisonnable de s’attendre à ce que le grand public (y compris les clients de Spring Cloud) examine les commits GitHub individuels pour les implications potentielles en matière de sécurité », indique le rapport.

Les chercheurs ont également noté que la divulgation coordonnée des vulnérabilités n’est pas toujours coordonnée et ont souligné les problèmes liés aux correctifs silencieux. Par exemple, il y avait une vulnérabilité de débordement basée sur le tas, référencée CVE-2022-42475, dans le FortiOS SSL VPN de Fortinet. Fortinet a informé ses clients en privé le 7 décembre, mais n’a pas divulgué publiquement cette vulnérabilité avant le 12 décembre, soit deux semaines après l’application d’un correctif silencieux le 28 novembre.

Calculs du TTKE mis à part, les chercheurs de Rapid7 estiment que les correctifs silencieux comme celui de la CVE-2022-42475 donnent aux attaquants une longueur d’avance.

Lorsque l’avis a été publié, il comportait une note indiquant que l’équipementier était « au courant d’un cas où cette vulnérabilité a été exploitée ». Mais elle ne précisait pas si la faille avait été exploitée par des acteurs malveillants avant que ne soit publié le correctif – silencieusement, fin novembre 2022, donc.