Selon une étude de Rapid7, les attaquants exploitent les vulnérabilités de sécurité plus rapidement, souvent dans la semaine suivant leur divulgation publique.
La dernière édition du rapport annuel de Rapid7 Rapport de renseignements sur les vulnérabilitéspublié aujourd’hui (28 mars), constate que le délai moyen d’exploitation connu des vulnérabilités est tombé à 12 jours – nettement en baisse par rapport aux 42 jours enregistrés dans l’édition de l’année dernière de la même étude.
Rapid7 a déclaré que cette tendance signifiait que les entreprises devaient être prêtes avec des « procédures de correction d’urgence et de réponse aux incidents testées au combat » pour avoir l’espoir de rester au top de l’environnement de plus en plus difficile des menaces de sécurité.
Manquements opportunistes
L’étude a examiné au microscope 50 vulnérabilités qui représentaient un risque pour les entreprises en 2021.
La grande majorité – 43 vulnérabilités sur 50 – ont été exploitées à l’état sauvage.
Trois sur cinq (60 %) des menaces répandues, définies par Rapid7 comme celles qui ont été largement et opportunément exploitées par de nombreux attaquants, ont été utilisées dans des attaques de ransomware. Plus de la moitié de ces menaces généralisées ont commencé par un exploit zero-day.
N’OUBLIEZ PAS DE LIRE Les plugins non corrigés menacent des millions de sites Web WordPress
Caitlin Condon, responsable de l’équipe d’ingénierie de gestion des risques de vulnérabilité de Rapid7, a déclaré La gorgée quotidienne que l’exploitation des rançongiciels n’était que l’un des nombreux facteurs à l’origine de cette augmentation.
Les groupes de cyberespionnage (APT) parrainés par l’État et les escrocs opportunistes qui tentent de s’enrichir grâce à des escroqueries par cryptojacking étaient également un problème.
Condon a déclaré: «Pour bon nombre des vulnérabilités qui sont devenues des menaces généralisées, les mineurs de pièces ont été la première vague d’exploitation de masse.
« Nous avons également vu des cas où les vulnérabilités des produits d’entreprise ont été exploitées par plusieurs APT en plus des groupes d’extraction de pièces et de ransomwares, il est donc juste de dire qu’un grand nombre des vulnérabilités de notre catégorie de menaces » répandues « ont été rapidement incorporées dans des menaces à la fois sophistiquées et opportunistes. campagnes.
Elle a ajouté : « La communauté et l’industrie de la sécurité ont bénéficié du partage de renseignements et d’expertise au fil des ans – malheureusement, cela est également vrai pour les attaquants. »
Doubler sur les jours zéro
Rapid7, la société à l’origine de l’outil de test d’intrusion Metasploit, a enregistré 20 CVE qui ont été exploités en tant que zero-days en 2021, soit plus du double du nombre d’exploits qui figuraient dans l’édition précédente de son étude.
Condon a commenté : « Nous avons constaté une augmentation si prononcée des attaques zero-day en 2021 que la valeur la plus fréquente à notre époque pour les données d’exploitation connues était zéro. Cela a fait chuter toutes nos statistiques.
« Alors que quelques-unes des vulnérabilités zero-day du rapport ont été exploitées par des groupes de ransomwares dès le départ, la plupart n’ont été utilisées dans les opérations de ransomware qu’après une première vague d’exploitation. »
En réponse aux questions de La gorgée quotidienneCondon a déclaré qu’il n’y avait pas de lien ou de corrélation clair entre l’exploitation plus rapide des vulnérabilités du jour zéro et la menace croissante posée par les groupes de rançongiciels.
Condon a expliqué : « Dans certains cas, comme les vulnérabilités de ProxyLogon dans Microsoft Exchange Server, cette vague de ransomwares a commencé rapidement. Dans d’autres, il a fallu des semaines ou des mois avant que nous ayons la confirmation que des vulnérabilités zero-day corrigées avaient été incorporées dans des attaques de ransomwares.
« Il n’y a donc pas de corrélation claire dans nos données entre la diminution du temps d’exploitation connu et les ransomwares, mais il est tout à fait raisonnable de supposer qu’à mesure que les groupes de ransomwares continuent d’évoluer et de mûrir leurs opérations, nous verrons des augmentations supplémentaires à la fois de l’urgence et l’ampleur des attaques.