Une ou deux fois par an, les chercheurs spécialisés en menaces découvrent une vulnérabilité logicielle majeure et souvent exposée à Internet qui permet à des cybercriminels de prendre le contrôle d'un ordinateur vulnérable, puis de l'utiliser pour s'implanter et provoquer des dégâts considérables au sein de l'entreprise ciblée.
Peut-être vous souvenez-vous de Dirty COW (CVE-2016-5195), runc (CVE-2019-5736), Sudo (CVE-2019-14287), ZeroLogon (CVE-2020-1472), PwnKit (CVE-2021-4034) ou Dirty Pipe (CVE-2022-0847). Plus récemment, regreSSHion (CVE-2024-6387) a rejoint la liste des vulnérabilités aux noms poétiques et aux conséquences potentiellement dévastatrices. Cette vulnérabilité a été identifiée et divulguée par l'unité de recherche sur les menaces de Qualys.
RegreSSHion : une nouvelle vulnérabilité logicielle d'OpenSSH
RegreSSHion est une vulnérabilité du service de sécurité OpenSSH, un outil open source qui permet de sécuriser l'administration système, les transferts de fichier et d'autres communications sur Internet ou les réseaux non approuvés. Cet outil est utilisé dans de nombreux systèmes d'exploitation Unix, tels que Mac et Linux.
Dans l'article de blog où il divulgue cette vulnérabilité, Qualys affirme qu'en cas d'exploitation, regreSSHion pourrait conduire à la prise de contrôle totale d'un système. Le cas échéant, les cybercriminels pourraient alors utiliser le système compromis pour exploiter d'autres systèmes vulnérables d'une entreprise en contournant des mécanismes de sécurité critiques.
L'étendue de ces répercussions combinée à la large disponibilité d'OpenSSH constitue un défi à l'échelle mondiale. Selon Qualys, il existe plus de 14 millions d'instances de serveur OpenSSH potentiellement vulnérables sur Internet. Quelque 700 000 instances externes connectées à Internet seraient également vulnérables.
C'est énorme. Il est donc grand temps de corriger cette vulnérabilité pour pouvoir s'attaquer au prochain enjeu de sécurité. Ce n'est toutefois pas aussi simple.
La correction des vulnérabilités prend du temps — un temps que les cybercriminels mettent à profit pour contourner les contrôles de sécurité
Même pour les équipes informatiques les plus aguerries, la correction des vulnérabilités est une tâche fastidieuse, qui peut prendre des mois, voire des années. Cette exposition prolongée pose un sérieux problème. À l'instar des chercheurs en sécurité, les cybercriminels analysent le Web à la recherche de systèmes vulnérables.
Comment les entreprises peuvent-elles se protéger pendant la phase qui précède la correction des vulnérabilités ? Doivent-elles recourir à la surveillance des journaux, à des pare-feux ou à des systèmes de sécurité EDR ou XDR avec agent pour détecter et bloquer les intrusions ?
Ces mesures de sécurité ne sont pas suffisantes. N'oubliez pas que regreSSHion offre aux cybercriminels des privilèges système racine sur l'hôte infecté. Autrement dit, il est fort probable qu'ils puissent désactiver ou contourner les contrôles de sécurité exécutés sur l'hôte ou par l'intermédiaire de celui-ci. Il s'agit d'une faiblesse fondamentale des contrôles de sécurité locaux. Ceux-ci sont en effet visibles et susceptibles d'être manipulés par les cybercriminels qui ont obtenu des privilèges d'administration système.
Les systèmes de sécurité ITDR, notamment les détections basées sur des leurres, offrent une défense en profondeur
Que peut donc faire votre entreprise pendant la fenêtre de vulnérabilité entre l'annonce publique d'une CVE, telle que regreSSHion, et l'identification et la correction des systèmes vulnérables par vos équipes informatiques ? Car c'est pendant cette période critique que les cybercriminels prennent eux aussi connaissance de la vulnérabilité et peuvent l'exploiter. C'est ici que les solutions ITDR en général et les contrôles de sécurité basés sur des leurres en particulier entrent en jeu — et peuvent faire une réelle différence.
Les systèmes de détection basés sur les signatures ou les comportements ont besoin de données télémétriques pour détecter la présence d'un cybercriminel. Pour collecter les données et en effectuer l'analyse, ils doivent être actifs. Cependant, comme indiqué précédemment, dès lors qu'ils disposent de privilèges d'administration du système racine, les cybercriminels n'ont bien souvent qu'à désactiver ou contourner ces systèmes.
Les leurres fonctionnent différemment. Des outils tels que Proofpoint Shadow sont en mesure de déployer des ressources en apparence authentiques (fichiers, comptes et services) dans toute l'entreprise. Ces ressources constituent autant de leurres conçus pour que les cybercriminels les utilisent pour se déplacer latéralement et élever leurs privilèges, ce qui aura pour effet de déclencher une alerte de détection silencieuse et l'envoi de données d'investigation numérique à l'équipe de réponse aux incidents.
Avec les leurres, il n'y a rien qu'un cybercriminel puisse trouver et désactiver. Aucun agent n'est exécuté localement. En outre, il n'est plus nécessaire de collecter et d'analyser des fichiers journaux pour détecter la présence d'un cybercriminel. Un cybercriminel n'est pas en mesure de faire la différence entre des ressources locales réelles et factices sur un hôte tant qu'il n'essaie pas de les utiliser. Et l'utilisation de ces ressources pour tenter de se déplacer latéralement a bien sûr pour effet de révéler leur présence.
Dans le cas de regreSSHion, ou de toute autre vulnérabilité passée, présente ou future, la détection des menaces basée sur des leurres peut être une stratégie de défense en profondeur extrêmement efficace. Combinée à l'identification et à la correction des vulnérabilités liées aux identités effectuées avant l'implantation d'un cybercriminel, elle permet d'éviter que les vulnérabilités logicielles ne donnent lieu à des compromissions majeures.
En savoir plus sur Proofpoint Identity Threat Defense
Proofpoint Shadow, un composant de Proofpoint Identity Threat Defense, crée un réseau complexe de fausses données et voies d'accès à l'échelle de votre entreprise. Même les cybercriminels les plus expérimentés ne savent pas distinguer le vrai du faux. Il leur est donc presque impossible de se déplacer vers vos ressources informatiques stratégiques sans être détectés. Téléchargez la fiche solution pour en savoir plus.
Pour plus d'informations sur la manière dont la solution ITDR de Proofpoint, Identity Threat Defense, peut renforcer vos défenses contre les cybercriminels qui sont parvenus à infiltrer votre entreprise, consultez la page de la solution Proofpoint Identity Threat Defense.