Un rapport conjoint publié par la CISA, le FBI et la NSA, avec le soutien des membres de l’alliance des Five Eyes (États-Unis, Australie, Canada, Nouvelle-Zélande et Royaume-Uni), révèle les vulnérabilités les plus exploitées par les cybercriminels en 2023. Parmi elles, les failles zero-day, exploitées avant même la publication de correctifs, occupent une place prépondérante. Ces attaques de ransomware, qui ciblent des infrastructures critiques et des logiciels largement utilisés, mettent en danger les données et les systèmes d’organisations du monde entier.
Table des matières
ToggleUne exploitation sans précédent des vulnérabilités zero-day
En 2023, les attaques exploitant des vulnérabilités connues ont atteint des sommets. Cette tendance alarmante a été mise en lumière par des agences de cybersécurité majeures, comme la CISA, le FBI et la NSA, qui ont publié une analyse approfondie des failles les plus utilisées par les cybercriminels. Ces attaques s’appuient principalement sur des vulnérabilités non corrigées ou des configurations inappropriées, permettant aux attaquants de s’infiltrer dans des systèmes critiques et d’accéder à des données sensibles.
Le rapport indique que les failles zero-day, exploitées avant la publication des correctifs, ont représenté une part significative des attaques en 2023. “En 2023, la majorité des vulnérabilités les plus fréquemment exploitées l’ont été en tant que vulnérabilités de type « zero-day » ce qui représente une augmentation par rapport à 2022, où moins de la moitié des vulnérabilités les plus fréquemment exploitées l’ont été en tant que zero-day.”peut-on lire en début de rapport.
Plus inquiétant encore, des vulnérabilités initialement identifiées plusieurs années auparavant continuent d’être activement exploitées : “Les cyberacteurs malveillants continuent d’avoir le plus de succès dans l’exploitation des vulnérabilités dans les deux ans qui suivent leur divulgation la divulgation publique de la vulnérabilité. L’utilité de ces vulnérabilités diminue avec le temps, à mesure que les systèmes sont corrigés ou remplacés.” Cela souligne une inadéquation entre la vitesse de déploiement des correctifs et l’agilité des attaquants. Cette situation met en évidence un manque de priorisation de la sécurité au sein de nombreuses organisations.
Top 15 des vulnérabilités les plus exploitées en 2023
1. CVE-2023-3519 : Citrix netscaler ADC et Gateway
Baptisée CitrixBleed par les chercheurs, cette faille, l’une des plus exploitées en 2023, permet une injection de code sur les systèmes Citrix non corrigés. Un attaquant non authentifié peut tirer parti d’une requête HTTP GET malveillante pour causer un dépassement de mémoire tampon et exécuter du code à distance. Ce type d’attaque est particulièrement dangereux pour les entreprises utilisant des solutions Citrix pour gérer leurs infrastructures cloud et réseaux d’entreprise. Cette faille critique (score CVSS de 9.8) a notamment été exploitée par Lockbit dans son attaque contre Boeing en novembre 2023, entraînant le vol et la publication de 43 Go de données sensibles. Par ailleurs des agences gouvernementales ont également été touchées par cette faille, entraînant 13 incidents majeurs au Royaume-Uni.
Type de vulnérabilité : injection de code
2. CVE-2023-4966 : Citrix netscaler ADC et Gateway
Cette vulnérabilité, (score CVSS de 9.4), facilite le contournement des contrôles d’authentification et de la MFA. Elle a été exploitée par LockBit 3.0 contre des cibles majeures telles que l’Industrial and Commercial Bank of China (ICBC) et le cabinet juridique Allen & Overy, mettant en péril des données critiques et stratégiques dans le cadre d’attaques coordonnées. Un POC (proof of concept , preuve de concept en français) démontrant comment voler des jetons de session a été publiée en octobre 2023, facilitant les attaques contre des systèmes non corrigés.
Type de vulnérabilité : Buffer Overflow
3. CVE-2023-20198 : Cisco IOS XE Web UI
Une exploitation de cette vulnérabilité (score CVSS de 10) affectant le logiciel Cisco IOS XE permet à un utilisateur non autorisé de créer un compte local avec des privilèges basiques, compromettant l’intégrité des systèmes.
Type de vulnérabilité : élévation de privilèges
4. CVE-2023-20273 : Cisco IOS XE
Cette faille, (score CVSS de 7.2), liée à la précédente, permet une élévation de privilèges jusqu’au niveau administrateur. Une fois exploitée, elle offre un contrôle total sur les systèmes affectés.
Type de vulnérabilité : injection de commande Web UI
5. CVE-2023-27997 : Fortinet FortiOS SSL-VPN
Les attaquants peuvent exécuter du code ou des commandes arbitraires en envoyant des requêtes spécifiques. Cette faille ,(score CVSS de 9.2), a été activement exploitée pour pénétrer des réseaux sécurisés.
Type de vulnérabilité : Heap-Based Buffer Overflow
6. CVE-2023-34362 : MOVEit Transfer
Un défaut d’injection SQL permet d’obtenir un accès aux API en tant qu’administrateur système en abusant d’une vulnérabilité d’injection SQL. Une fois ce jeton obtenu, les cybercriminels abusent des appels de désérialisation pour exécuter du code malveillant. En mai 2023 le groupe de ransomware CL0P, a utilisé cette vulnérabilité SQLi zero-day pour voler des données de plus de 2 700 organisations, compromettant 93 millions de dossiers. La faille a permis l’implantation d’un webshell personnalisé (LEMURLOOT) facilitant l’exfiltration des données. Les cybercriminels utilisent ces informations pour mener des attaques en chaîne, compromettant non seulement des données, mais aussi les systèmes de sauvegarde associés.
Type de vulnérabilité : injection SQL
7. CVE-2023-22515 : Atlassian Confluence
Cette vulnérabilité CVE-2023-22515 d’Atlassian Confluence, (score CVSS de 10), exploite une validation incorrecte des entrées pour obtenir un accès initial aux réseaux. Cet exploit permet également de créer un nouveau compte administrateur et installeun plugin malveillant pour exécuter du code arbitrairement.
Type de vulnérabilité : contrôle d’accès défaillant
8. CVE-2021-44228 : Apache Log4j
Découverte en décembre 2021, cette vulnérabilité Log4Shell, affectant la bibliothèque Apache Log4j reste un outil privilégié des cybercriminels. Cette faille permet d’exécuter du code à distance, ouvrant la voie à une gamme d’attaques, allant du vol de données au déploiement de ransomwares.
Type de vulnérabilité : exécution de code à distance
9. CVE-2023-2868 : Barracuda Email Security Gateway
Cette vulnérabilité de validation des entrées, (score CVSS de 9.4), dans le Barracuda Email Security Gateway permet l’exécution de commandes à distance, compromettant des environnements de messagerie.
Type de vulnérabilité : mauvaise validation des entrées
10. CVE-2022-47966 : Zoho ManageEngine
Cette faille d’exécution de code sans authentification permet à un attaquant d’envoyer une requête SAML falsifiée pour compromettre des applications Zoho ManageEngine.
Type de vulnérabilité : exécution de code à distance
11. CVE-2023-27350 : PaperCut MF/NG
En combinant un contournement d’authentification et une exploitation des scripts intégrés, cette faille, (score CVSS de 9.8), permet aux cybercriminels d’exécuter des commandes arbitraires sur les systèmes vulnérables.
Type de vulnérabilité : contrôle d’accès défaillant
12. CVE-2020-1472 : Microsoft Netlogon
Grâce à une configuration par défaut vulnérable, un attaquant peut établir une connexion sécurisée au protocole Netlogon et escalader ses privilèges pour prendre le contrôle à distance des systèmes affectés.
Type de vulnérabilité : élévation de privilèges
13. CVE-2023-42793 : JetBrains TeamCity
Cette faille d’authentification, (score CVSS de 9.8), permet à des utilisateurs non autorisés d’exécuter du code à distance sur les serveurs TeamCity, compromettant ainsi les environnements de développement.
Type de vulnérabilité : Bypass de l’authentification
14. CVE-2023-23397 : Microsoft Office Outlook
Une élévation de privilèges peut être réalisée en envoyant un e-mail malveillant. La vulnérabilité , (score CVSS de 9.8),s’active automatiquement lorsque le client Outlook traite le message, sans interaction utilisateur.
Type de vulnérabilité : élévation de privilèges
15. CVE-2023-49103 : OwnCloud graphapi
Cette vulnérabilité, (score CVSS de 10), expose des informations sensibles, comme des mots de passe administrateurs ou des clés de licence, accessibles sans authentification préalable.
Type de vulnérabilité : divulgation d’informations
Pourquoi ces vulnérabilités restent-elles une cible privilégiée ?
La persistance des failles exploitées s’explique par plusieurs facteurs :
- Des correctifs tardifs ou inexistants : certaines organisations ne disposent pas d’un processus de gestion des correctifs efficace. Les attaques exploitant des vulnérabilités publiées depuis deux ans ou plus restent fréquentes, signe d’une adoption lente des mises à jour.
- Complexité des systèmes : l’interconnexion croissante des systèmes et l’utilisation de logiciels tiers multiplient les points d’entrée potentiels pour les attaquants. Par exemple, les environnements cloud hybrides sont souvent exposés à des attaques via des outils de gestion mal sécurisés.
- Techniques avancées des attaquants : les cybercriminels utilisent des outils automatisés pour scanner les systèmes non corrigés. De plus, ils collaborent via des forums clandestins pour partager des exploits et des informations sur les cibles vulnérables.
Renforcer la résilience : des stratégies éprouvées pour les RSSI
Pour limiter l’impact des vulnérabilités, il est essentiel d’adopter des mesures préventives robustes. Voici quelques recommandations clés pour protéger vos systèmes :
Prioriser la gestion des correctifs
Mettre en œuvre un système centralisé de gestion des correctifs permet d’identifier rapidement les vulnérabilités critiques et d’appliquer les mises à jour nécessaires. Les organisations devraient également établir des politiques strictes pour remplacer les logiciels en fin de vie, souvent laissés sans support de sécurité.
Renforcer la surveillance réseau
Les outils d’analyse comportementale et de détection des anomalies, comme les solutions EDR (Endpoint Detection and Response), jouent un rôle prépondérant dans la détection des activités suspectes. Ils permettent de bloquer rapidement les tentatives d’exploitation de failles connues.
Mettre en place une architecture de réseau segmentée
Limiter les mouvements latéraux des attaquants en segmentant les réseaux internes est une pratique essentielle. En isolant les systèmes critiques, vous réduisez les risques qu’un attaquant compromette l’ensemble de vos infrastructures.
Promouvoir une culture de la cybersécurité
Les employés sont souvent le premier point de défense contre les cyberattaques. Des formations régulières sur les bonnes pratiques de sécurité, comme la reconnaissance des e-mails de phishing, peuvent réduire significativement les risques.
Des actions immédiates pour contrer les menaces
En 2024, la rapidité d’exécution reste un facteur déterminant pour contrer les cybermenaces. Voici un plan d’action immédiat :
- Auditez vos systèmes pour identifier les vulnérabilités exposées.
- Appliquez des correctifs à toutes les failles critiques mentionnées dans ce rapport.
- Implémentez des solutions de sécurité avancées, telles que les pare-feu applicatifs et les scanners de vulnérabilités.
- Collaborez avec vos fournisseurs pour vous assurer que leurs produits respectent des principes de conception sécurisée.
« Toutes ces vulnérabilités sont connues publiquement, mais beaucoup figurent pour la première fois dans le top 15 », a déclaré Jeffrey Dickerson, directeur technique de la cybersécurité de la NSA. « Les défenseurs des réseaux devraient accorder une attention particulière aux tendances et prendre des mesures immédiates pour veiller à ce que les vulnérabilités soient corrigées et atténuées. L’exploitation se poursuivra probablement en 2024 et 2025.»
En adoptant ces mesures, votre organisation peut réduire les risques liés aux attaques exploitant des vulnérabilités connues, tout en renforçant la confiance de vos partenaires et clients.
Sources (en anglais) :
2023 Top Routinely Exploited Vulnerabilities
Rapport « 2023 Top Routinely Exploited Vulnerabilities » à télécharger (pdf)