
MR - stock.adobe.com
Vulnérabilités critiques : une année 2024 fortement contrastée
Plusieurs vulnérabilités critiques ont été exploitées dans le cadre de cyberattaques en 2024. Mais contrairement au sentiment que cela pourrait donner, l’année écoulée s’est avérée relativement calme sur ce front.
Les statistiques du NIST américain sont formelles : 2024 était une très petite année pour les vulnérabilités… critiques, mais une année très intense globalement sur ce front.
Les statistiques de l’institut peuvent donner l’impression d’une explosion du nombre de vulnérabilités rendues publiques, au total. Mais bon nombre s’avèrent bénignes, voire difficilement exploitables. Et de ne pas être, en définitive, exploitées.
Sur le front des vulnérabilités critiques, la situation est différente. Comparativement à 2022 et 2023, l’an passé s’est avéré calme, à un niveau comparable à celui de 2021 (pour les vulnérabilités considérées comme critiques selon le CVSS 3), à un peu plus de 2 500. Et cela ne représente qu’un peu plus de 6 % du total pour l’année écoulée : un record.
Pour autant, le nombre de vulnérabilités critiques exploitées dans le cadre de cyberattaques nous renvoie à… 2021, devant 2020, 2022, et 2023, donc, toujours selon les statistiques du NIST. En volume du moins, car en proportion, 2024 était une année remarquablement calme, encore une fois, sur ce terrain.
Cela ne signifie pas qu’aucune n’ait eu d’impact significatif. Et cela vaut tout particulièrement pour celles qui ont été exploitées sous forme de 0day, avant même, donc, d’être rendues publiques : CVE-2024-51567 (Cyberpanel), CVE-2024-50623 (Cleo), CVE-2024-37085 (VMware ESXi), ainsi que trois ayant affecté Windows (CVE-2024-26169, CVE-2024-21412, CVE-2024-38213). D’autres attendent encore d’être pleinement prises au sérieux, à l’instar de la CVE-2024-55591 pour laquelle Onyphe recense encore environ 48 000 systèmes affectés exposés sur Internet.
Au total, et sans surprise, les équipements de périphérie du réseau ont été largement représentés, qu’il s’agisse de produits Ivanti, Citrix, Fortinet, Palo Alto Networks, Cisco, ou encore SonicWall.
La majorité de ces vulnérabilités critiques, affectant des systèmes exposés sur Internet et permettant l’accès à des ressources internes aux systèmes d’information, ont un point commun : appliquer les correctifs disponibles n’est pas nécessairement suffisant pour éloigner la menace.
Ces vulnérabilités peuvent avoir été utilisées pour déposer un webshell (une interface Web permettant aux attaquants d’interagir avec le système compromis), ou collecter les identifiants de comptes utilisateurs. Ceux-ci s’avèrent dès lors compromis.
Les assaillants peuvent s’être arrêtés là, ou s’être invités plus avant, par exemple en créant de nouveaux comptes disposant de privilèges d’administration, ou en allant encore plus loin afin de s’assurer une persistance furtive dans le système d’information et pas simplement en périphérie. En cas de doute, il convient donc d’aller sensiblement au-delà de la seule application de correctifs.
Comment expliquer, dès lors, un niveau toujours élevé de la menace de cyberattaques ? L’activité malveillante a pu profiter d’un vivier encore dense de comptes utilisateurs compromis par infostealers, malgré l’accalmie constatée en seconde partie d’année sur cet autre front.
Selon les statistiques établies par ransomware.live, sur la base de ses observations, et des données de Hudson Rock, des traces de comptes compromis de la sorte ont été relevées dans plus de 45 % des cas de cyberattaque avec rançongiciel survenus et/ou revendiqués en 2024.