Les analystes de sécurité de Google Mandiant mettent en garde contre une nouvelle tendance inquiétante des acteurs de la menace démontrant une meilleure capacité à découvrir et à exploiter les vulnérabilités zero-day dans les logiciels.
Plus précisément, sur les 138 vulnérabilités divulguées comme activement exploitées en 2023, Mandiant indique que 97 (70,3%) ont été exploitées en tant que zero-days.
Cela signifie que les auteurs de menaces ont exploité les failles des attaques avant que les fournisseurs concernés ne connaissent l’existence des bogues ou n’aient pu les corriger.
De 2020 à 2022, le ratio entre n jours (défauts corrigés) et zéro jour (aucun correctif disponible) est resté relativement stable à 4:6, mais en 2023, le ratio est passé à 3: 7.
Google explique que cela n’est pas dû à une baisse du nombre de n-jours exploités dans la nature mais plutôt à une augmentation de l’exploitation zero-day et à l’amélioration de la capacité des fournisseurs de sécurité à la détecter.
Cette augmentation des activités malveillantes et de la diversification des produits ciblés se reflète également dans le nombre de fournisseurs touchés par des failles activement exploitées, qui a augmenté en 2023 pour atteindre un record de 56, contre 44 en 2022 et plus élevé que le précédent record de 48 fournisseurs en 2021.
Les temps de réponse se resserrent
Une autre tendance significative a été enregistrée concernant le temps nécessaire pour exploiter (TTE) une faille nouvellement divulguée (n-day ou 0-day), qui est maintenant tombé à seulement cinq jours.
À titre de comparaison, en 2018-2019, l’ETT était de 63 jours et en 2021-2022, l’ETT était de 32 jours. Cela a donné aux administrateurs système suffisamment de temps pour planifier l’application des correctifs ou mettre en œuvre des mesures d’atténuation pour sécuriser les systèmes affectés.
Cependant, avec le TTE qui tombe maintenant à 5 jours, des stratégies telles que la segmentation du réseau, la détection en temps réel et la hiérarchisation urgente des correctifs deviennent beaucoup plus critiques.
Sur une note connexe, Google ne voit pas de corrélation entre la divulgation des exploits et TTE.
En 2023, 75% des exploits ont été rendus publics avant le début de l’exploitation dans la nature, et 25% ont été publiés après que les pirates exploitaient déjà les failles.
Deux exemples mis en évidence dans le rapport pour montrer qu’il n’y a pas de relation cohérente entre la disponibilité des exploits publics et les activités malveillantes sont CVE-2023-28121 (plugin WordPress) et CVE-2023-27997 (Fortinet FortiOS).
Dans le premier cas, l’exploitation a commencé trois mois après la divulgation et dix jours après la publication d’une preuve de concept.
Dans l’affaire FortiOS, la faille a été militarisée presque immédiatement dans des exploits publics, mais le premier événement d’exploitation malveillant a été enregistré quatre mois plus tard.
La difficulté d’exploitation, la motivation des acteurs de la menace, la valeur de la cible et la complexité globale de l’attaque jouent toutes un rôle dans l’ETT, et une corrélation directe ou isolée avec la disponibilité des PoC est imparfaite selon Google.