
Plus de 15 millions de services publics sont sensibles à au moins une des 896 vulnérabilités répertoriées dans le catalogue KEV (known exploitable vulnerabilities) de CISA.
Ce nombre massif est rapporté par la société de cybersécurité Rezilion, qui a mené des recherches à grande échelle pour identifier les systèmes vulnérables exposés aux cyberattaques des acteurs de la menace, qu’il s’agisse de gangs parrainés par l’État ou de rançongiciels.
Les découvertes de Rezilion sont particulièrement inquiétantes car les vulnérabilités examinées sont connues et mises en évidence dans le catalogue KEV de CISA comme étant activement exploitées par les pirates, de sorte que tout retard dans leur correction maintient une grande surface d’attaque, offrant aux acteurs de la menace de nombreuses cibles potentielles.
Exposés aux attaques
Rezilion a utilisé le service d’analyse Web Shodan pour trouver les terminaux encore vulnérables aux CVE ajoutés au catalogue des vulnérabilités exploitables connues de CISA.
En utilisant ces requêtes de recherche personnalisées, les chercheurs ont trouvé 15 millions d’instances vulnérables à 200 CVE du catalogue.
Plus de la moitié de ces 7 millions d’instances étaient vulnérables à l’un des 137 CVE concernant Microsoft Windows, faisant de ce composant une priorité absolue pour les défenseurs et une excellente cible pour les attaquants.
À l’exception de Windows, Rezilion a identifié les dix principaux CVE suivants :

Près de la moitié d’entre eux ont plus de cinq ans, donc environ 800 000 machines n’ont pas appliqué de mises à jour de sécurité pendant une période de temps significative.
« Dans l’ensemble, plus de 4,5 millions d’appareils connectés à Internet ont été identifiés comme vulnérables aux KEV découverts entre 2010 et 2020 », commente Rezilion dans le rapport.
« Il est très préoccupant que ces machines n’aient pas corrigé les mises à jour publiées pertinentes pendant des années, même si un correctif a été publié, et ces vulnérabilités sont connues pour être exploitées dans la nature. »
Certains CVE notables mis en évidence dans le rapport Rezilion sont :
- CVE-2021-40438 : faille de divulgation d’informations de gravité moyenne apparaissant dans près de 6,5 millions de résultats Shodan, impactant les serveurs Apache HTTPD v2.4.48 et versions antérieures.
- Proxyshell : un ensemble de trois vulnérabilités impactant Microsoft Exchange, que les APT iraniennes ont enchaînées pour des attaques d’exécution de code à distance en 2021. Shodan renvoie aujourd’hui 14 554 résultats.
- ProxyLogon : un ensemble de quatre failles affectant Microsoft Exchange, que les pirates russes ont largement exploitées en 2021 contre l’infrastructure américaine. Selon Shodan, il existe encore 4 990 systèmes vulnérables à ProxyLogon, dont 584 situés aux États-Unis.
- HeartBleed (CVE-2014-0160) : faille de gravité moyenne impactant OpenSSL, permettant aux attaquants de divulguer des informations sensibles d’une mémoire de processus. Shodan dit qu’un énorme 190 446 sont encore vulnérables à cette faille.
De plus, pour CVE-2021-40438, ce grand nombre correspond au nombre de sites Web/services exécutés sur Apache, et non sur des appareils individuels, car de nombreux sites Web peuvent être hébergés sur un seul serveur.

Il est également important de souligner que l’estimation de 15 millions de points finaux exposés de Rezilion est prudente, ne contenant que des non-doublons et omettant également les cas pour lesquels les chercheurs n’ont pas pu trouver de requêtes qui ont réduit les versions du produit.
Rezilion a également déclaré à Breachtrace qu’ils ne s’appuyaient pas seulement sur les recherches intégrées Shodan CVE pour leurs recherches, mais qu’ils avaient créé des requêtes de recherche personnalisées qui déterminaient les versions des logiciels exécutés sur les appareils.
« Pour certaines des vulnérabilités, nous avons les balises inhérentes de Shodan, mais la plupart du temps, nous avons mené notre propre analyse qui comprenait l’identification des versions vulnérables spécifiques pour chaque produit concerné et la conception de requêtes shodan spécifiques qui nous permettront d’identifier les indications de ces versions dans les métadonnées visibles pour Shodan », a expliqué le directeur de la recherche sur les vulnérabilités de Rezilion, Yotam Perkal, à Breachtrace.
Tentatives d’exploitation
L’exposition est une chose, mais l’intérêt des pirates en est une autre, et pour y répondre, Rezilion a utilisé les données de Greynoise qui surveillent et catégorisent les tentatives d’exploitation des vulnérabilités.
En tête de liste avec les failles les plus exploitées se trouve CVE-2022-26134, avec 1 421 résultats dans GreyNoise et 816 tentatives d’exploitation au cours du mois dernier.

Cette faille de gravité critique dans Atlassian Confluence Server et Data Center permet à un attaquant distant d’exécuter une expression Object-Graph Navigation Language sur l’instance vulnérable.
Parmi les autres failles figurant en haut de la liste, citons CVE-2018-13379, une lecture de fichiers arbitraires de pré-authentification affectant les appareils FortiOS, qui a 331 résultats sur GreyNoise, et Log4Shell, un méchant bogue d’exécution de code sur Log4J2 qui a eu 66 tentatives d’exploitation dans le passé. mois.

Corriger toutes les failles de votre environnement est la solution apparente à ces risques,
Cependant, s’il s’agit d’une tâche compliquée pour votre organisation, il convient de prioriser les failles critiques de votre environnement ou de les sécuriser derrière un pare-feu.
Rezilion dit que les failles de Microsoft Windows, Adobe Flash Player, Internet Explorer, Google Chrome, Microsoft Office et Win32k représentent un quart du catalogue KEV de CISA, donc ces produits seraient un bon point de départ.