Les analystes de sécurité de Google Mandiant mettent en garde contre une nouvelle tendance inquiétante selon laquelle les acteurs de la menace démontrent une meilleure capacité à découvrir et à exploiter les vulnérabilités Zero Day des logiciels.
Plus précisément, sur les 138 vulnérabilités divulguées comme activement exploitées en 2023, Mandiant indique que 97 (70,3 %) ont été exploitées en tant que zero-day.
Cela signifie que les acteurs malveillants ont exploité les failles des attaques avant que les fournisseurs concernés ne connaissent l’existence des bogues ou n’aient pu les corriger.
De 2020 à 2022, le rapport entre n jours (défauts corrigés) et zéro jour (aucun correctif disponible) est resté relativement stable à 4 : 6, mais en 2023, le rapport est passé à 3 : 7.
Google explique que cela n’est pas dû à une baisse du nombre de n jours exploités dans la nature, mais plutôt à une augmentation de l’exploitation du jour zéro et à la capacité améliorée des fournisseurs de sécurité à la détecter.
Aperçu des conclusions de Mandiant
Les délais de réponse se resserrent
Une autre tendance significative a été enregistrée concernant le temps nécessaire pour exploiter (TTE) une faille nouvellement révélée (n jours ou 0 jours), qui est désormais tombé à seulement cinq jours.
À titre de comparaison, en 2018-2019, le TTE était de 63 jours et en 2021-2022, le TTE était de 32 jours. Cela a donné aux administrateurs système suffisamment de temps pour planifier l’application des correctifs ou mettre en œuvre des mesures d’atténuation pour sécuriser les systèmes concernés.
Cependant, le délai TTE étant désormais tombé à 5 jours, des stratégies telles que la segmentation du réseau, la détection en temps réel et la priorisation urgente des correctifs deviennent beaucoup plus critiques.
En 2023, 75 % des exploits ont été rendus publics avant le début de leur exploitation sauvage, et 25 % ont été publiés après que les pirates informatiques aient déjà exploité les failles.
Deux exemples mis en évidence dans le rapport pour montrer qu’il n’existe pas de relation cohérente entre la disponibilité publique des exploits et les activités malveillantes sont CVE-2023-28121 (plug-in WordPress) et CVE-2023-27997 (Fortinet FortiOS).
.jpg?resize=771%2C600&ssl=1)
Chronologie d’exploitation de deux failles
Source : Google
Dans le premier cas, l’exploitation a commencé trois mois après la divulgation et dix jours après la publication d’une preuve de concept.
Dans le cas de FortiOS, la faille a été utilisée presque immédiatement comme une arme par des exploits publics, mais le premier événement d’exploitation malveillante a été enregistré quatre mois plus tard.
La difficulté d’exploitation, la motivation des acteurs menaçants, la valeur cible et la complexité globale de l’attaque jouent tous un rôle dans le TTE, et une corrélation directe ou isolée avec la disponibilité du PoC est erronée selon Google.
#des #failles #exploitées #révélées #étaient #des #failles #zeroday
