Tendance 2021/22 : TOP 5 des vulnérabilités détectées dans le cadre de nos missions de Pentest en 2020

Après le premier rapport TOP 5 des vulnérabilités détectées dans le cadre de nos missions de Pentest en 2019, nous vous proposons ce nouveau bilan des vulnérabilités les plus souvent rencontrées lors de la réalisation des audits et des tests d’intrusion durant l’année écoulée afin de définir une tendance pour l’année 2021/22.

Celui-ci se base donc sur notre retour d’expérience, dressant ainsi un panorama des 5 vulnérabilités les plus souvent rencontrées sur les infrastructures ou les applications de nos clients.

Bien entendu de nombreuses vulnérabilités critiques ne sont pas énoncées dans ce rapport, car étant encore peu rencontrées. Espérant que ce nouveau partage d’information peut vous être utile.

Vulnérabilité #1 : Zerologon

Zerologon (CVE-2020-1472) a déjà été classée parmi les vulnérabilités les plus dangereuses découvertes ces dernières années. Il permet à un attaquant de compromettre le contrôleur de domaine et d’accéder au contenu de l’ensemble de la base de données Active Directory. La connexion réseau avec le contrôleur de domaine de l’organisation est suffisante pour l’exploitation.

La vulnérabilité exploite le protocole de chiffrement utilisé par le service Netlogon. Le protocole permet aux ordinateurs de s’authentifier auprès d’un contrôleur de domaine et de mettre à jour le mot de passe de leur compte Active Directory. C’est cette fonctionnalité qui rend Zerologon dangereuse. En particulier, la vulnérabilité permet à un attaquant de se faire passer pour un contrôleur de domaine et de modifier son mot de passe. Un attaquant accède au contrôleur de domaine avec les privilèges les plus élevés, et donc au réseau de l’entreprise. Une fois le mot de passe modifié, un attaquant peut utiliser le compte du contrôleur de domaine pour intensifier l’attaque, par exemple en effectuant une attaque DCSync (en obtenant des comptes Active Directory via le mécanisme de réplication).

Il est à noter que pour exploiter cette vulnérabilité, un attaquant devrait lancer une attaque à partir d’une machine située sur le même réseau local que sa cible, c’est-à-dire qu’il devrait accéder au réseau visé par l’attaque.

Avec au moins quatre exploits fonctionnels sur GitHub, les chercheurs en sécurité recommandent aux administrateurs d’appliquer les correctifs d’août de Microsoft. Ces correctifs résolvent ce problème en appliquant un protocole Netlogon sécurisé à tous les serveurs et clients Windows du domaine.

Vulnérabilité #2 : BlueKeep

La vulnérabilité BlueKeep est une menace de ver, mais contrairement à d’autres menaces similaires, celle-ci a une note de 9,8 sur 10 sur l’échelle CVSS (Common Vulnerability Scoring System), tout comme le ransomware WannaCry 2017.

Son comportement semblable à un ver signifie que BlueKeep peut se propager à travers les réseaux vers d’autres ordinateurs et se développer comme WannaCry l’a fait lorsqu’il s’est propagé aux ordinateurs de 150 pays en quelques heures.

Pour exploiter les vulnérabilités, un attaquant n’a qu’à envoyer une requête spécialement conçue au service Bureau à distance des systèmes cibles à l’aide de RDP.

Il est important de noter que tout logiciel malveillant qui exploite cette vulnérabilité pourrait potentiellement se propager d’un ordinateur vulnérable à un autre. Pour exploiter la vulnérabilité, il suffit uniquement de disposer d’un accès réseau à un serveur avec une version vulnérable du système d’exploitation Windows.

Vulnérabilité #3 : Microsoft Exchange

En 2021, des vulnérabilités dans le logiciel Microsoft Exchange Server ont permis aux cybercriminels de s’introduire dans au moins 60 000 organisations à travers le monde.

Pour mener à bien l’attaque, les cybercriminels ont besoin d’accéder au serveur Microsoft Exchange local via le port 443. Si l’accès est obtenu, les attaquants exploitent les vulnérabilités suivantes pour obtenir un accès à distance :

  • CVE-2021-26855 est une vulnérabilité SSRF (Server Side Request Forgery) dans Exchange qui permet à un attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange.
  • CVE-2021-26857 – Vulnérabilité de désérialisation non sécurisée. La désérialisation non sécurisée se produit lorsque des données contrôlées par l’utilisateur sont désérialisées par un programme. L’exploitation de cette vulnérabilité a permis aux attaquants d’exécuter du code en tant que SYSTEM sur un serveur Exchange. Cela nécessite une autorisation d’administrateur ou une autre vulnérabilité.
  • CVE-2021-26858 – Vulnérabilité d’écriture de fichier arbitraire. Si les attaquants peuvent s’authentifier auprès du serveur Exchange, ils peuvent exploiter cette vulnérabilité pour écrire un fichier dans n’importe quel chemin du serveur. Ils pourraient s’authentifier à l’aide de la vulnérabilité SSRF CVE-2021-26855 ou en compromettant les informations d’identification de l’administrateur.
  • CVE-2021-27065 : Utilisé de la même manière que la vulnérabilité précédente (CVE-2021-26858.

Après avoir accédé à un serveur Microsoft Exchange vulnérable, l’attaquant installe un Web Shell qui lui permet de voler des données, de télécharger des fichiers et d’exécuter presque toutes les commandes sur le système compromis.

Généralement, après la compromission, les attaquants effectuent un dump mémoire de l’exécutable LSASS.exe pour collecter les informations d’identification mises en cache à l’aide de ce Web Shell.

Ils exportent ensuite les mails et les données volées du serveur Exchange et les téléchargent vers des services de partage de fichiers tels que MEGA, d’où ils peuvent ensuite les télécharger.

En raison de la gravité des attaques, Microsoft recommande aux administrateurs « d’installer immédiatement les mises à jour de sécurité » pour protéger les serveurs Exchange de ces attaques

Vulnérabilité #4 : WEB Ghostcat (CVE-2020-0601)

Au début de l’année 2020, des experts chinois ont découvert une vulnérabilité dangereuse affectant toutes les versions d’Apache Tomcat publiées au cours des 13 dernières années (les versions 6.x, 7.x, 8.x et 9.x sont affectées). La vulnérabilité a été nommée Ghostcat, et a obtenu un score de 9,8 sur l’échelle d’évaluation des vulnérabilités CVSS.

La cause du problème réside dans AJP, qui est le protocole Apache JServ qu’Apache Tomcat utilise pour communiquer avec les serveurs Web Apache HTTPD à proximité et d’autres installations Tomcat. AJP est activé par défaut sur tous les serveurs Tomcat et écoute sur le port 8009.

Les chercheurs expliquent que cette vulnérabilité dans l’AJP peut être utilisée pour lire ou écrire des fichiers. Par exemple, les attaquants peuvent lire les fichiers de configuration d’application, voler des mots de passe et des jetons d’API, et ont également la possibilité d’écrire des fichiers, c’est-à-dire qu’ils peuvent laisser une porte dérobée ou un Web shell sur le serveur dans le cas où ce dernier permet aux utilisateurs de télécharger des fichiers.

Vulnérabilité #5 : Drupalgeddon3 (CVE-​2018-7602)

Fin mars 2018, de nombreux développeurs Web ont reçu une notification les informant des vulnérabilités critiques trouvées dans Drupal. Ces vulnérabilités permettent aux attaquants de prendre complètement le contrôle d’un site Web en quelques minutes.

Tous les sites sur Drupal jusqu’à 7,58 ont été attaqués en premier, puis les sites sur des versions jusqu’à 7,59. Quant à la version 8, les versions de Drupal antérieures à 8.5.3 et 8.4.8 se sont révélées dangereuses.

Drupalgeddon 3 est apparu presque immédiatement après Drupalgeddon 2. Cela est dû au fait que la vulnérabilité du système n’a pas été immédiatement corrigée. La vulnérabilité consiste simplement à envoyer des données via ajax, qui contiennent du code malveillant. Ce code n’est en aucun cas vérifié et peut être exécuté immédiatement.

Il est assez facile de constater que votre site Drupal a été piraté. Par exemple, de nouveaux fichiers et dossiers sont apparus dans les répertoires sur l’hébergement de vos sites, et le journal des événements contient des notifications avec des erreur.

La grande majorité des propriétaires de sites sur Drupal ont immédiatement mis à jour vers de nouvelles versions, mais maintenant il est toujours possible de trouver des sites qui sont encore sur des versions plus anciennes de ce CMS. Cela signifie qu’ils peuvent être compromis à tout moment. La mise à jour de Drupal n’est pas une tâche si difficile. Il est possible d’installer indépendamment un correctif pour les anciennes versions, ou bien ajouter manuellement le code manquant des nouvelles versions aux fichiers existants du site.

Sans oublier, le Phishing qui demeure un incontournable !

La crise sanitaire a été, de loin, la source de la plus grande panique en 2020. Au plus fort des pandémies, les activités de phishing visaient principalement à voler des informations mais les cybercriminels ont également propagé des ransomwares et des chevaux de trois.

2020 démontre la grande capacité des attaquants à adapter leurs méthodes aux tendances mondiales.

Petit résumé des 2 plus grandes campagnes de phishing 2020 : Emotet et Ryuk.

  • Emotet est un cheval de Troie modulaire avancé qui se propage automatiquement. Emotet était autrefois un cheval de Troie bancaire courant et a récemment été utilisé pour diffuser davantage de logiciels malveillants et de campagnes. La nouvelle fonctionnalité vous permet d’envoyer des e-mails de phishing contenant des pièces jointes ou des liens malveillants.
  • Ryuk est un ransomware qui chiffre les données des utilisateurs professionnels et de l’entreprise avec AES + RSA, puis demande une rançon de 15 à 50 BTC pour récupérer les fichiers. Certains chercheurs pensent que le célèbre groupe Lazarus est à l’origine du développement et de la mise en œuvre. Selon d’autres sources, le groupe se fait appeler le Wizard Spider.

Autres articles susceptibles de vous intéresser