Selon le dernier rapport Rapid7 Annual Vulnerability Intelligence, le délai moyen d'exploitation des vulnérabilités est de 12 jours, contre 42 jours l'année dernière.Sur les 50 2021 vulnérabilités étudiées dans le rapport, 43 ont été exploitées dans la nature et 52 % des vulnérabilités connues et exploitées dans ce rapport ont été attaquées dans la semaine suivant leur divulgation publique.
En outre, les vulnérabilités classées comme "menaces généralisées" - en raison de l'ampleur de leur exploitation - ont connu une augmentation alarmante de 136 % par rapport à l'année précédente.
"Plus de la moitié de toutes les menaces généralisées examinées cette année ont commencé par un exploit de type "zero day"", explique Caitlin Condon, responsable de l'ingénierie de la gestion des risques liés aux vulnérabilités chez Rapid7. "Ce rythme est vraiment très inhabituel. Dans les années passées, une grande partie de cette exploitation que nous voyons était des attaques ciblées par des pirates sophistiqués, ce n'est plus vrai. L'augmentation du volume d'attaques est préoccupante, mais lorsque ce volume d'attaques croissant s'accompagne d'une forte proportion d'exploits de type "zero day", c'est une véritable préoccupation pour les équipes de sécurité."
Le rapport montre également qu'un peu plus de la moitié des vulnérabilités relevées étaient des failles d'exécution de code à distance, qui permettent aux attaquants d'exécuter à distance une charge utile sur un système cible. Une douzaine des vulnérabilités identifiées comme des menaces généralisées étaient des pivots de réseau (qui offrent aux attaquants un accès initial, comme des failles dans les passerelles, les pare-feu et les VPN) ou des vulnérabilités de compromission de l'infrastructure de réseau (qui donnent aux attaquants le contrôle des actifs ou des systèmes en aval).
L'une des vulnérabilités les plus médiatisées de l'année a été Log4Shell, dont la simplicité et l'omniprésence en ont fait sans doute le plus grand incident de cybersécurité de l'histoire. Sa surface d'attaque massive et la variété de ses implémentations ont rendu difficile et long le remède efficace, ce qui a donné aux attaquants plus de temps pour compromettre les systèmes internes et ceux qui sont en contact avec Internet.
M. Condon souligne que Log4Shell est également susceptible d'avoir une longue traînée : "Tout le monde a compris qu'il fallait corriger la vulnérabilité initiale, mais il y a tellement de produits et d'applications qui sont vulnérables. Les gens ne réalisent peut-être pas qu'ils doivent continuer à appliquer des correctifs à Log4Shell alors que tous les faits ont été révélés et je pense qu'il est facile que cette vague initiale d'urgence s'estompe. Surtout lorsque les gens n'ont pas la capacité de répondre au nombre d'applications critiques pour l'entreprise qui ne sont toujours pas patchées."
Source : Rapid7
Et vous ?
Trouvez-vous ce rapport pertinent ? Qu'en est-il au sein de votre organisation ? Voir aussi :
Les entreprises mettent près de deux mois à corriger les vulnérabilités critiques, avec un délai moyen de correction (MTTR) de 60 jours, 57% de ces vulnérabilités ont plus de deux ans, selon Edgescan Les incidents de sécurité sont plus nombreux et les délais de réparation plus longs dans le secteur de l'éducation, seuls 34 % des vulnérabilités critiques sont corrigées, selon NTT Le premier correctif de la vulnérabilité critique zero day Log4J a sa propre vulnérabilité qui est déjà exploitée, les entreprises sont exhortées à utiliser le second