Top 15 des vulnérabilités les plus exploitées en 2023 : rapport CISA, NSA et partenaires

Un rapport conjoint publié par la CISA, le FBI et la NSA, avec le soutien des membres de l’alliance des Five Eyes (États-Unis, Australie, Canada, Nouvelle-Zélande et Royaume-Uni), révèle les vulnérabilités les plus exploitées par les cybercriminels en 2023. Parmi elles, les failles zero-day, exploitées avant même la publication de correctifs, occupent une place prépondérante. Ces attaques de ransomware, qui ciblent des infrastructures critiques et des logiciels largement utilisés, mettent en danger les données et les systèmes d’organisations du monde entier.

Une exploitation sans précédent des vulnérabilités zero-day

En 2023, les attaques exploitant des vulnérabilités connues ont atteint des sommets. Cette tendance alarmante a été mise en lumière par des agences de cybersécurité majeures, comme la CISA, le FBI et la NSA, qui ont publié une analyse approfondie des failles les plus utilisées par les cybercriminels. Ces attaques s’appuient principalement sur des vulnérabilités non corrigées ou des configurations inappropriées, permettant aux attaquants de s’infiltrer dans des systèmes critiques et d’accéder à des données sensibles.

Le rapport indique que les failles zero-day, exploitées avant la publication des correctifs, ont représenté une part significative des attaques en 2023. “En 2023, la majorité des vulnérabilités les plus fréquemment exploitées l’ont été en tant que vulnérabilités de type « zero-day » ce qui représente une augmentation par rapport à 2022, où moins de la moitié des vulnérabilités les plus fréquemment exploitées l’ont été en tant que zero-day.”peut-on lire en début de rapport.

Plus inquiétant encore, des vulnérabilités initialement identifiées plusieurs années auparavant continuent d’être activement exploitées : “Les cyberacteurs malveillants continuent d’avoir le plus de succès dans l’exploitation des vulnérabilités dans les deux ans qui suivent leur divulgation la divulgation publique de la vulnérabilité. L’utilité de ces vulnérabilités diminue avec le temps, à mesure que les systèmes sont corrigés ou remplacés.” Cela souligne une inadéquation entre la vitesse de déploiement des correctifs et l’agilité des attaquants. Cette situation met en évidence un manque de priorisation de la sécurité au sein de nombreuses organisations.

Top 15 des vulnérabilités les plus exploitées en 2023

1. CVE-2023-3519 : Citrix netscaler ADC et Gateway

Baptisée CitrixBleed par les chercheurs, cette faille, l’une des plus exploitées en 2023, permet une injection de code sur les systèmes Citrix non corrigés. Un attaquant non authentifié peut tirer parti d’une requête HTTP GET malveillante pour causer un dépassement de mémoire tampon et exécuter du code à distance. Ce type d’attaque est particulièrement dangereux pour les entreprises utilisant des solutions Citrix pour gérer leurs infrastructures cloud et réseaux d’entreprise. Cette faille critique (score CVSS de 9.8) a notamment été exploitée par Lockbit dans son attaque contre Boeing en novembre 2023, entraînant le vol et la publication de 43 Go de données sensibles. Par ailleurs des agences gouvernementales ont également été touchées par cette faille, entraînant 13 incidents majeurs au Royaume-Uni.

Type de vulnérabilité : injection de code

2. CVE-2023-4966 : Citrix netscaler ADC et Gateway

Cette vulnérabilité, (score CVSS de 9.4), facilite le contournement des contrôles d’authentification et de la MFA. Elle a été exploitée par LockBit 3.0 contre des cibles majeures telles que l’Industrial and Commercial Bank of China (ICBC) et le cabinet juridique Allen & Overy, mettant en péril des données critiques et stratégiques dans le cadre d’attaques coordonnées. Un POC (proof of concept , preuve de concept en français) démontrant comment voler des jetons de session a été publiée en octobre 2023, facilitant les attaques contre des systèmes non corrigés.

Type de vulnérabilité : Buffer Overflow

3. CVE-2023-20198 : Cisco IOS XE Web UI

Une exploitation de cette vulnérabilité (score CVSS de 10) affectant le logiciel Cisco IOS XE permet à un utilisateur non autorisé de créer un compte local avec des privilèges basiques, compromettant l’intégrité des systèmes.

Type de vulnérabilité : élévation de privilèges

4. CVE-2023-20273 : Cisco IOS XE

Cette faille, (score CVSS de 7.2), liée à la précédente, permet une élévation de privilèges jusqu’au niveau administrateur. Une fois exploitée, elle offre un contrôle total sur les systèmes affectés.

Type de vulnérabilité : injection de commande Web UI

5. CVE-2023-27997 : Fortinet FortiOS SSL-VPN

Les attaquants peuvent exécuter du code ou des commandes arbitraires en envoyant des requêtes spécifiques. Cette faille ,(score CVSS de 9.2), a été activement exploitée pour pénétrer des réseaux sécurisés.

Type de vulnérabilité : Heap-Based Buffer Overflow

6. CVE-2023-34362 : MOVEit Transfer

Un défaut d’injection SQL permet d’obtenir un accès aux API en tant qu’administrateur système en abusant d’une vulnérabilité d’injection SQL. Une fois ce jeton obtenu, les cybercriminels abusent des appels de désérialisation pour exécuter du code malveillant. En mai 2023 le groupe de ransomware CL0P, a utilisé cette vulnérabilité SQLi zero-day pour voler des données de plus de 2 700 organisations, compromettant 93 millions de dossiers. La faille a permis l’implantation d’un webshell personnalisé (LEMURLOOT) facilitant l’exfiltration des données. Les cybercriminels utilisent ces informations pour mener des attaques en chaîne, compromettant non seulement des données, mais aussi les systèmes de sauvegarde associés.

Type de vulnérabilité : injection SQL

7. CVE-2023-22515 : Atlassian Confluence

Cette vulnérabilité CVE-2023-22515 d’Atlassian Confluence, (score CVSS de 10), exploite une validation incorrecte des entrées pour obtenir un accès initial aux réseaux. Cet exploit permet également de créer un nouveau compte administrateur et installeun plugin malveillant pour exécuter du code arbitrairement.

Type de vulnérabilité : contrôle d’accès défaillant

8. CVE-2021-44228 : Apache Log4j

Découverte en décembre 2021, cette vulnérabilité Log4Shell, affectant la bibliothèque Apache Log4j reste un outil privilégié des cybercriminels. Cette faille permet d’exécuter du code à distance, ouvrant la voie à une gamme d’attaques, allant du vol de données au déploiement de ransomwares.

Type de vulnérabilité : exécution de code à distance

9. CVE-2023-2868 : Barracuda Email Security Gateway

Cette vulnérabilité de validation des entrées, (score CVSS de 9.4), dans le Barracuda Email Security Gateway permet l’exécution de commandes à distance, compromettant des environnements de messagerie.

Type de vulnérabilité : mauvaise validation des entrées

10. CVE-2022-47966 : Zoho ManageEngine

Cette faille d’exécution de code sans authentification permet à un attaquant d’envoyer une requête SAML falsifiée pour compromettre des applications Zoho ManageEngine.

Type de vulnérabilité : exécution de code à distance

11. CVE-2023-27350 : PaperCut MF/NG

En combinant un contournement d’authentification et une exploitation des scripts intégrés, cette faille, (score CVSS de 9.8), permet aux cybercriminels d’exécuter des commandes arbitraires sur les systèmes vulnérables.

Type de vulnérabilité : contrôle d’accès défaillant

12. CVE-2020-1472 : Microsoft Netlogon

Grâce à une configuration par défaut vulnérable, un attaquant peut établir une connexion sécurisée au protocole Netlogon et escalader ses privilèges pour prendre le contrôle à distance des systèmes affectés.

Type de vulnérabilité : élévation de privilèges

13. CVE-2023-42793 : JetBrains TeamCity

Cette faille d’authentification, (score CVSS de 9.8), permet à des utilisateurs non autorisés d’exécuter du code à distance sur les serveurs TeamCity, compromettant ainsi les environnements de développement.

Type de vulnérabilité : Bypass de l’authentification

14. CVE-2023-23397 : Microsoft Office Outlook

Une élévation de privilèges peut être réalisée en envoyant un e-mail malveillant. La vulnérabilité , (score CVSS de 9.8),s’active automatiquement lorsque le client Outlook traite le message, sans interaction utilisateur.

Type de vulnérabilité : élévation de privilèges

15. CVE-2023-49103 : OwnCloud graphapi

Cette vulnérabilité, (score CVSS de 10), expose des informations sensibles, comme des mots de passe administrateurs ou des clés de licence, accessibles sans authentification préalable.

Type de vulnérabilité : divulgation d’informations

Pourquoi ces vulnérabilités restent-elles une cible privilégiée ?

La persistance des failles exploitées s’explique par plusieurs facteurs :

  1. Des correctifs tardifs ou inexistants : certaines organisations ne disposent pas d’un processus de gestion des correctifs efficace. Les attaques exploitant des vulnérabilités publiées depuis deux ans ou plus restent fréquentes, signe d’une adoption lente des mises à jour.
  2. Complexité des systèmes : l’interconnexion croissante des systèmes et l’utilisation de logiciels tiers multiplient les points d’entrée potentiels pour les attaquants. Par exemple, les environnements cloud hybrides sont souvent exposés à des attaques via des outils de gestion mal sécurisés.
  3. Techniques avancées des attaquants : les cybercriminels utilisent des outils automatisés pour scanner les systèmes non corrigés. De plus, ils collaborent via des forums clandestins pour partager des exploits et des informations sur les cibles vulnérables.

Renforcer la résilience : des stratégies éprouvées pour les RSSI

Pour limiter l’impact des vulnérabilités, il est essentiel d’adopter des mesures préventives robustes. Voici quelques recommandations clés pour protéger vos systèmes :

Prioriser la gestion des correctifs

Mettre en œuvre un système centralisé de gestion des correctifs permet d’identifier rapidement les vulnérabilités critiques et d’appliquer les mises à jour nécessaires. Les organisations devraient également établir des politiques strictes pour remplacer les logiciels en fin de vie, souvent laissés sans support de sécurité.

Renforcer la surveillance réseau

Les outils d’analyse comportementale et de détection des anomalies, comme les solutions EDR (Endpoint Detection and Response), jouent un rôle prépondérant dans la détection des activités suspectes. Ils permettent de bloquer rapidement les tentatives d’exploitation de failles connues.

Mettre en place une architecture de réseau segmentée

Limiter les mouvements latéraux des attaquants en segmentant les réseaux internes est une pratique essentielle. En isolant les systèmes critiques, vous réduisez les risques qu’un attaquant compromette l’ensemble de vos infrastructures.

Promouvoir une culture de la cybersécurité

Les employés sont souvent le premier point de défense contre les cyberattaques. Des formations régulières sur les bonnes pratiques de sécurité, comme la reconnaissance des e-mails de phishing, peuvent réduire significativement les risques.

Des actions immédiates pour contrer les menaces

En 2024, la rapidité d’exécution reste un facteur déterminant pour contrer les cybermenaces. Voici un plan d’action immédiat :

  1. Auditez vos systèmes pour identifier les vulnérabilités exposées.
  2. Appliquez des correctifs à toutes les failles critiques mentionnées dans ce rapport.
  3. Implémentez des solutions de sécurité avancées, telles que les pare-feu applicatifs et les scanners de vulnérabilités.
  4. Collaborez avec vos fournisseurs pour vous assurer que leurs produits respectent des principes de conception sécurisée.

« Toutes ces vulnérabilités sont connues publiquement, mais beaucoup figurent pour la première fois dans le top 15 », a déclaré Jeffrey Dickerson, directeur technique de la cybersécurité de la NSA. « Les défenseurs des réseaux devraient accorder une attention particulière aux tendances et prendre des mesures immédiates pour veiller à ce que les vulnérabilités soient corrigées et atténuées. L’exploitation se poursuivra probablement en 2024 et 2025.»

En adoptant ces mesures, votre organisation peut réduire les risques liés aux attaques exploitant des vulnérabilités connues, tout en renforçant la confiance de vos partenaires et clients.

Sources (en anglais) :

2023 Top Routinely Exploited Vulnerabilities

Rapport « 2023 Top Routinely Exploited Vulnerabilities » à télécharger (pdf)

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *