L'institut Cybersecurity and Infrastructure Security Agency (CISA) vient de publier un rapport présentant les vulnérabilités les plus fréquemment exploitées en 2022. Cloudflare, qui joue le rôle de proxy inverse pour une grande partie d'Internet, se trouve dans une position unique pour observer de quelles manières les CVE (« Common Vulnerabilities and Exposures », vulnérabilités et expositions communes) mentionnées par CISA sont exploitées sur Internet.
Nous voulons partager avec vous quelques-unes des connaissances que nous avons recueillies.
D'après notre analyse, deux CVE mentionnées dans le rapport de CISA sont à l'origine de l'immense majorité des attaques observées « dans la nature » : Log4J et Atlassian Confluence Code Injection. Bien que CISA/CSA examinent un plus grand nombre de vulnérabilités dans le même rapport, nos données suggèrent clairement une différence majeure dans le volume d'exploitations des deux premières CVE et de celles constituant le reste de la liste.
Les principales CVE en 2022
Lorsque nous examinons le volume de requêtes détectées par les règles gérées de pare-feu WAF qui ont été créées pour les CVE spécifiques énumérées dans le rapport de CISA, nous classons les vulnérabilités par ordre de prévalence :
Classement par popularité
Description
CVE
1. Une validation incorrecte des entrées a entraîné l'exécution de code à distance dans la bibliothèque de journalisation Apache Log4j
Log4J
2. Vulnérabilité liée à l'exécution de code à distance sur le serveur et dans le datacenter Atlassian Confluence
Atlassian Confluence Code Injection
3. Trois failles ont été réunies pour permettre l'exécution de code à distance (vulnérabilité également appelée « ProxyShell »).
Serveurs Microsoft Exchange
CVE-2021-34473, CVE-2021-31207, CVE-2021-34523
4. Des requêtes non divulguées peuvent contourner l'authentification iControl REST et exécuter du code arbitraire
BIG-IP F5
5. Deux failles ont été réunies pour permettre l'exécution à distance d'une commande Root
VMware
6. Problème lié à l'exécution de code à distance sur le serveur et dans le datacenter Confluence
Vulnérabilité zero-day d'Atlassian Confluence
En tête de liste figure Log4J (CVE-2021-44228). Ce n'est guère surprenant, car elle figure parmi les exploitations de vulnérabilités les plus marquantes que nous ayons observées depuis des décennies, puisqu'elle conduit à une compromission totale à distance. La deuxième vulnérabilité la plus exploitée est Atlassian Confluence Code Injection (CVE-2022-26134).
À la troisième place, nous trouvons l'association de trois CVE ciblant les serveurs Microsoft Exchange (CVE-2021-34473, CVE-2021-31207 et CVE-2021-34523), et à la quatrième, une exploitation de vulnérabilité de BIG-IP F5 (CVE-2022-1388), suivie de l'association de deux vulnérabilités de VMware (CVE-2022-22954 et CVE-2022-22960). À la dernière place de notre liste se trouve une autre vulnérabilité zero-day d'Atlassian Confluence (CVE-2021-26084).
Lorsque l'on compare le volume d'attaques pour ces cinq groupes, on remarque immédiatement qu'une vulnérabilité se démarque des autres.En tête du classement, Log4J est considérablement plus exploitée que la deuxième vulnérabilité (Atlassian Confluence Code Injection), et toutes les autres CVE se trouvent encore plus bas dans le classement.Bien que le rapport CISA/CSA regroupe toutes ces vulnérabilités, nous pensons qu'il existe en réalité deux groupes : une CVE dominante (Log4J), et un groupe secondaire réunissant des vulnérabilités zero-day comparables. Chacun des deux groupes représente un volume d'attaques similaire.
Le graphique ci-dessous, en échelle logarithmique, démontre clairement la différence de popularité.
[Nombre de requêtes bloquées sur le réseau Cloudflare pour chaque CVE. Les blocages sont déclenchés par des règles gérées, créées pour protéger les utilisateurs de Cloudflare.]
CVE-2021-44228 : Log4J
La première sur notre liste est la tristement célèbre CVE-2021-44228, mieux connue sous le nom de vulnérabilité Log4j. Cette faille a provoqué d'importantes perturbations dans le cyber-monde en 2021, et continue d'être fortement exploitée.
Cloudflare a publié de nouvelles règles gérées dans les heures qui ont suivi la divulgation de la vulnérabilité. Nous avons également publié des détections mises à jour dans les jours suivants (article de blog). Globalement, nous avons publié des règles suivant trois étapes :
Les règles que nous avons déployées détectent l'exploitation de la vulnérabilité dans quatre catégories :
En-têtes Log4j : modèle d'attaque dans l'en-tête HTTP
Corps de texte Log4j : modèle d'attaque dans le corps de texte HTTP
URI Log4j : modèle d'attaque dans l'URI
Dissimulation du corps de texte Log4j : modèle d'attaque par dissimulation
Nous avons constaté que les attaques Log4J contenues dans les en-têtes HTTP sont plus fréquentes que celles dans les corps de texte HTTP. Le graphique ci-dessous démontre la persistance des tentatives d'exploitation de cette vulnérabilité dans le temps, avec des pics évidents et une croissance jusqu'en juillet 2023 (au moment de la rédaction de cet article).
[Tendance des tentatives d'exploitation de la vulnérabilité Log4j au cours de l'année passée]
En raison de l'impact élevé de cette vulnérabilité, le 15 mars 2022, Cloudflare a annoncé que toutes les offres (y compris l'offre gratuite) bénéficieraient de règles gérées du pare-feu WAF pour les vulnérabilités avec un fort impact. Ces règles gratuites permettent de lutter contre les vulnérabilités à fort impact, telles que l'exploitation de vulnérabilité Log4J, la vulnérabilité Shellshock et différentes exploitations de vulnérabilités très répandues de WordPress. Chaque site web d'entreprise ou personnel, quels que soient sa taille ou son budget, peut ainsi protéger ses ressources numériques à l'aide du pare-feu WAF de Cloudflare.
L'avis de sécurité intégral pour Log4J publié par Apache Software Foundation est disponible ici..
CVE-2022-26134: Atlassian Confluence Code Injection
Une vulnérabilité par injection de code affectant Atlassian Confluence a représenté la deuxième CVE la plus exploitée en 2022. Cette exploitation de vulnérabilité représentait une menace pour des systèmes entiers, et a laissé de nombreuses entreprises à la merci d'acteurs malveillants. Elle démontre à quel point les systèmes fondés sur la connaissance sont devenus essentiels à la gestion des informations au sein des entreprises. Les attaquants ciblent ces systèmes, car ils sont conscients de leur importance. En réponse, l'équipe responsable du pare-feu WAF de Cloudflare a déployé deux publications d'urgence afin de protéger ses clients :
Dans le cadre de ces publications, deux règles ont été mises à la disposition de tous les utilisateurs du pare-feu WAF :
Atlassian Confluence - Code Injection - CVE:CVE-2022-26134
Atlassian Confluence - Code Injection - Extended - CVE:CVE-2022-26134
Le graphique ci-dessous montre le nombre d'attaques observées chaque jour, avec un pic visible, suivi d'une diminution progressive au fur et à mesure que les systèmes étaient corrigés et sécurisés.
Les CVE Log4J et Atlassian Confluence Code Injection présentent tous deux une certaine saisonnalité, avec un volume d'attaques plus important entre septembre/novembre 2022 et mars 2023. Cette tendance reflète vraisemblablement des campagnes gérées par des acteurs malveillants tentant encore d'exploiter cette vulnérabilité (une campagne en cours est visible vers la fin du mois de juillet 2023).
[Tendance des tentatives d'exploitation de la vulnérabilité CVE-2022-26134 au cours de l'année]
Avis de sécurité pour référence.
CVE-2021-34473, CVE-2021-31207 et CVE-2021-34523 : vulnérabilités SSRF et RCE de Microsoft Exchange
Trois bugs jusqu'alors inconnus ont été associés afin de lancer une attaque zero-day par exécution de code à distance (RCE, Remote Code Execution).Compte tenu de l'adoption généralisée des serveurs Microsoft Exchange, ces exploitations de vulnérabilités ont constitué une menace sérieuse pour la sécurité des données et les opérations des entreprises dans tous les secteurs de l'industrie, secteurs géographiques et secteurs d'activité.
Cloudflare a publié une règle de pare-feu WAF pour cette vulnérabilité avec la publication d'urgence : 3 mars 2022, qui contenait la règle Microsoft Exchange SSRF and RCE vulnerability - CVE:CVE-2022-41040, CVE:CVE-2022-41082.
La tendance de ces attaques au cours de l'année écoulée est illustrée dans le graphique ci-dessous.
[Tendance des tentatives d'exploitation de la vulnérabilité de Microsoft Exchange au cours de l'année passée]
Avis de sécurité pour référence : CVE-2021-34473, CVE-2021-31207 et CVE-2021-34523.
CVE-2022-1388: exécution de code à distance dans BIG-IP F5
Cette vulnérabilité de sécurité particulière peut être exploitée lorsqu'un acteur malveillant non authentifié dispose d'une connectivité réseau au système BIG-IP (le nom du produit F5 d'un groupe de solutions d'amélioration de la sécurité et des performances des applications). L'acteur malveillant peut alors exécuter des commandes système illimitées, soit via l'interface de gestion, soit via des adresses IP auto-attribuées.
Cloudflare a diffusé une publication d'urgence afin de détecter ce problème (Publication d'urgence : 5 mai 2022) avec la règle Command Injection - RCE in BIG-IP - CVE:CVE-2022-1388.
On observe un schéma d'exploitation de vulnérabilité relativement persistant, sans indicateurs de campagnes spécifiques, à l'exception d'un pic survenu à la fin du mois de juin 2023.
[Tendance des tentatives d'exploitation de la vulnérabilité de BIG-IP F5 au cours de l'année passée]
Avis de sécurité de F5 pour référence.
CVE-2022-22954 : vulnérabilité d'exécution de code à distance par injection d'un modèle côté serveur dans le gestionnaire d'accès et d'identités de VMware Workspace ONE
Cette vulnérabilité permet à un acteur malveillant de déclencher à distance une injection de modèle côté serveur pouvant entraîner l'exécution de code à distance. L'exploitation réussie de cette vulnérabilité permet à un acteur malveillant non authentifié disposant d'un accès réseau à l'interface web d'exécuter une commande shell arbitraire en tant qu'utilisateur VMware. Cette vulnérabilité a ensuite été associée à CVE-2022-22960, une vulnérabilité reposant sur l'escalade de privilèges locaux (LPE, Local Privilege Escalation). Ensemble, ces deux vulnérabilités permettaient à des acteurs malveillants d'exécuter à distance des commandes avec des privilèges d'administrateur.
Cloudflare a publié une règle de pare-feu WAF pour cette vulnérabilité : Publication : 5 mai 2022. Le graphique ci-dessous représente l'évolution des tentatives d'exploitation dans le temps.
[Tendance des tentatives d'exploitation de la vulnérabilité de VMware au cours de l'année passée]
CVE-2021-26084: Confluence Server Webwork OGNL Injection
Une exploitation de vulnérabilité par injection de code OGNL a été identifiée. Elle permet à un acteur malveillant non authentifié d'exécuter du code arbitraire sur un serveur Confluence ou dans une instance de Data Center. Cloudflare a diffusé une publication d'urgence pour le pare-feu WAF pour cette vulnérabilité le 9 septembre 2022. Nous avons observé peu de tentatives d'exploitation de cette vulnérabilité au cours de l'année passée, par rapport aux autres CVE évoquées dans cet article.
[Tendance des tentatives d'exploitation de la vulnérabilité OGNL de Confluence au cours de l'année passée]
Recommandations pour une protection améliorée
Nous recommandons à tous les administrateurs de serveurs de veiller à ce que leurs logiciels soient à jour lorsque des correctifs sont disponibles. Les clients de Cloudflare, y compris ceux qui bénéficient de notre offre gratuite, peuvent tirer parti de nouvelles règles permettant de bloquer les CVE et les menaces zero-day, mises à jour chaque semaine dans l'ensemble de règles gérées. Des publications d'urgence peuvent même être diffusées pour les CVE comportant un risque élevé. En outre, les clients de l'offre Entreprise ont accès au score d'attaque du pare-feu WAF, une fonction de détection basée sur l'IA qui complète les règles traditionnelles basées sur les signatures, permettant d'identifier les menaces inconnues et les tentatives de contournement. Grâce à la puissance combinée de la détection à base de règles et de l'IA, Cloudflare offre une défense solide contre les menaces connues et émergentes.
Conclusions
Les données de Cloudflare permettent d'enrichir le rapport sur les vulnérabilités publié par CISA ; il est intéressant de noter que les tentatives d'exploitation des deux premières vulnérabilités sont considérablement supérieures en nombre à celles des autres entrées de la liste.Les entreprises doivent intensifier leurs efforts en matière d'application de correctifs logiciels en fonction de la liste fournie. Bien entendu, il est important de noter que tous les logiciels doivent recevoir des correctifs et que des déploiements efficaces du pare-feu WAF garantiront une sécurité supplémentaire, et permettront de « gagner du temps » afin de permettre la sécurisation des systèmes sous-jacents contre les vulnérabilités existantes et futures.