Thierry Casier, Responsable de l’offre Audit & Pentest chez Harmonie Technologie
Harmonie Technologie, cabinet de conseil français, indépendant, pure-player en cybersécurité, dévoile son Top 5 des cyberattaques qui ont marquées 2019.
Ce Top 5, réalisé par l’équipe Audit & Pentest, est issu de missions réalisées chez des clients, dans le cadre d’audits techniques.
L’objectif de ce rapport est de dresser un bilan de l’année passée des vulnérabilités les plus souvent rencontrées lors de la réalisation des audits et de définir une tendance pour l’année 2020. Celui-ci se base donc sur notre retour d’expérience, dressant ainsi un panorama des 5 vulnérabilités les plus souvent rencontrées sur les infrastructures ou applications de nos clients.
Vulnérabilité #1 :
BlueKeep: (CVE-2019-0708). Cette vulnérabilité rendue publique en mai 2019 affecte encore aujourd’hui plusieurs milliers de machines. Celle-ci impacte le service RDP (Remote Desktop Protocol) sur d’anciennes versions de Windows mais qui sont encore aujourd’hui utilisées dans de nombreuses entreprises (Win7, WinSer2008 et R2, WinSer2008, Windows2003…). Cette vulnérabilité dispose d’un score (CVSS) de 10, ce qui la rend extrêmement critique, car de nombreux administrateurs se connectent via RDP aux infrastructures de l’entreprise, sur des versions dépréciées. De plus un exploit associé existe dans le framework Metasploit, rendant de fait son exploitation triviale. L’application des patchs fournis par Microsoft n’est pas systématique, soit par méconnaissance de la vulnérabilité et des versions déployées sur les infrastructures, soit à cause de problèmes organisationnels ou de dépendances…
Vulnérabilité #2 :
Citrix, un problème de privilèges. Cette vulnérabilité impactant Citrix AppDNA jusqu’à une certaine version permet la réalisation d’une attaque de type RCE (remote code execution), entrainant la possibilité de réalisation d’une élévation de privilège. Les portails Citrix sont utilisés par de nombreuses entreprises, pour accéder à différentes ressources souvent exposées sur le Web (Virtual Apps – Desktops). Cette vulnérabilité permettant d’accéder aux applications dans le cadre par exemple de projets de migrations et de déploiement, l’élévation de privilège sur des systèmes en production aurait de graves conséquences. Ici dans la plupart des cas, les petites structures ne disposant pas d’un CERT et d’un processus de veille sur les vulnérabilités peuvent tout simplement ne pas voir passer l’information, ou bien les sujets de patch management sont embryonnaires et l’application des mises à jour de sécurité devient un calvaire, car le métier n’est pas de l’avis de l’IT ou de la sécurité, ce qui fait que 6 mois après la publication du bulletin d’alerte rien n’est encore fait.
Une fois de plus, en complément de l’intégration de la sécurité dans les projets, une veille active couplée à des audits réguliers (plus d’une fois par an) portant sur les assests critiques peut s’avérer être une réponse efficace.
Vulnérabilité #3 :
SMB, encore et toujours lui. Dans de nombreuses entreprises, de mauvaises pratiques sont encore constatées, comme l’utilisation d’une version dépréciée et donc vulnérable à de nombreuses attaques (SMBv1), ou l’absence de signature SMB permettant la concrétisation de scénarios d’élévation de privilège au sein du système d’information. WannaCry ne lui dira jamais assez merci.
Ce constat fait écho avec un problème de bien plus grande envergure, il s’agit des systèmes déployés par défaut sur les infrastructures, sans aucune démarche de durcissement. Ainsi les comptes par défaut, les services inutilisés restant ouverts, les protocoles par défaut dépréciés ou laissant la possibilité d’utiliser des version downgradées de certains services, voici autant de portes ouvertes laissées à des employés curieux, revanchards, ou même à des prestataires ou des attaquants depuis le Web. Une fois de plus, une réalité difficile à accepter par les équipes de production et de sécurité, ces protocoles dépréciés sont parfois nécessaires à des systèmes obsolètes, mais souvent la raison est le fonctionnement des DSI en silo, qui ne communiquent pas avec efficience, et ne font figurer sur leurs plans d’actions aucun projet de durcissement de leurs réseaux et systèmes, laissant de fait ces vulnérabilités perdurer jusqu’à un prochain audit…ou une nouvelle attaque.
Vulnérabilité #4 :
Les injections, XXE, XSS, SQLi, en grande forme cette année encore. Qu’il s’agisse de l’injection des fichiers XML ou de charactères interprétés par les applications, elles ont été encore rencontrées de nombreuses fois durant l’année dernière. Les activités de développement sécurisé ne sont pas encore réalisées comme il se doit, malgré les référentiels de bonnes pratiques (OWASP), les outils d’analyse de code, les lacunes inhérentes à cette activité persistent. Qu’il s’agisse des aspects techniques (on ne sait pas coder), fonctionnels (DevSecOps, on verra plus tard), ou culturels (la sécurité cela m’embête et me fait perdre du temps), ces vulnérabilités seront rencontrées encore pendant longtemps. Le TOP10 de l’OWASP ne s’en trouvera que peu modifié dans les années à venir.
Même si des CMS (système de gestion de contenu) comme Drupal ou WordPress facilitent grandement les activités de développement, leur permettant d’intégrer des axes de sécurité très prononcés, cela n’empêche pas encore et toujours à ces vulnérabilités critiques de passer les cycles de développement et de se retrouver tranquillement en production.
Qu’il s’agisse des PME/ETI ou des grands groupes, les activités de développement sécurisé, quelque soit l’approche projet, la méthodologie, la ToolChain, la maturité reste majoritairement faible, ce qui ne permettra pas dans un futur proche de voir disparaitre ces vulnérabilités.
Vulnérabilité #5 :
Politique de mots de passe. Une vulnérabilité incontournable, encore présente dans le bilan 2019, et qui a encore de beaux jours devant elle, il s’agit de la faiblesse des politiques de mots de passe et autres mauvaises pratiques associées. Qu’il s’agisse de la très faible sensibilisation des employés, des dérogations abusives, des comptes par défaut (notamment de service), avec ou sans détour par Shodan à toutes fins utiles, l’usurpation de comptes via une attaque par bruteforce a fonctionné encore à merveille en 2019.
Le nom de l’entreprise 2019, les noms et prénoms, les personnages de fiction, … Autant d’éléments qui garnissent les nombreux dictionnaires des outils dédiés.
L’application d’une politique de mots de passe stricte, sans dérogation, le renforcement de la complexité des comptes de service et des profils administrateurs, ainsi que des actions récurrentes de sensibilisation et d’audit de robustesse sont à inscrire d’ores et déjà dans la roadmap des RSSI.
Conclusion : Concernant les vulnérabilités affectant les infrastructures et les applications de nos clients, certaines sont rencontrées chaque année, faisant partie de nos basiques à tester, d’autres font l’objet de la veille et de la réalisation de POC au profit de nos clients, avec la traduction de chaque vulnérabilité en risque métier, mettant en avant certaines difficultés énoncées dans ce rapport, qu’elles soient techniques, organisationnelles ou culturelles.
Bien entendu de nombreuses vulnérabilités critiques n’ont pas été énoncées dans ce rapport, car étant encore peu rencontrées, affectant des composants de base bien sécurisés, ou encore peu déployés chez nos clients (AWS, AZURE, SalesForce, Openstack, …), mais donnant des perspectives intéressantes pour l’année à venir.
Ainsi, 2019 et, nous en sommes convaincus, également 2020, a eu son lot de lieus communs qui font l’objet d’une constante sensibilisation et de plans d’actions pragmatiques de notre part, pour qu’au fil des mois le gain de maturité des différents acteurs soit (enfin) constaté.