De SolarWinds à Log4j : l’impact mondial des vulnérabilités actuelles de la cybersécurité

De SolarWinds à Log4j : l'impact mondial des vulnérabilités actuelles de la cybersécurité

Si les entreprises ont appris quelque chose l’année dernière, c’est que l’impact des cyberattaques ciblées et des failles de sécurité est dorénavant généralisé. Des retombées de l’attaque de la chaîne d’approvisionnement du logiciel SolarWinds à la vulnérabilité exposée d’Apache Log4j, les arguments justifiant le besoin prégnant pour les organisations de toutes tailles de disposer d’une infrastructure de sécurité complète et robuste n’ont jamais été aussi forts, même si ces entreprises ne sont pas nécessairement dans le collimateur des cyber attaquants.

Beaucoup considèrent la désormais célèbre brèche de SolarWinds de fin 2020 comme un catalyseur majeur de ce qui allait devenir une frénésie d’attaques de cinquième génération qui persistent encore à ce jour. Ces attaques multi-vecteurs à grande échelle ont une portée pratiquement illimitée, avec des conséquences dévastatrices sur la sécurité des entreprises et des gouvernements du monde entier. Un an après, c’est au tour de la vulnérabilité Apache Log4j d’être exposée, permettant aux acteurs malveillants d’exécuter du code à distance sur presque tous les ordinateurs ciblés pour en prendre le contrôle, voler des données ou même détourner la machine d’un utilisateur pour y extraire de la crypto monnaie.

La première était une attaque orchestrée par un groupe de menaces avancées persistantes, la seconde était une vulnérabilité zero-day exposée que personne n’avait vu venir. Les deux incidents ont toutefois un point commun : ils ont augmenté les risques et la vulnérabilité des entreprises de tous les secteurs et dans tous les coins du monde. À l’heure où les organisations se projettent vers un avenir souvent incertain, il est on ne peut plus clair que la cybersécurité est un problème mondial et non pas local. La stratégie de cybersécurité des entreprises devrait donc prendre tout cela en compte.

publicité

La montée en puissance des attaques de 5ème génération

Les attaques de 5ème génération sont uniques dans la mesure où elles exploitent de larges surfaces d’attaque et de multiples vecteurs d’infection pour infiltrer un grand nombre d’organisations. Elles augmentent à un rythme sans précédent. Maintenant que les entreprises et les agences gouvernementales étendent l’empreinte de leur réseau et rajoutent des points d’extrémité et d’appareils connectés dans leur mix technologique, le risque d’être impacté par une attaque de 5ème génération n’a jamais été aussi élevé.

Comme le souligne notre rapport sur la sécurité 2022, la brèche de SolarWinds, qui a touché plus de 18 000 organisations dans le monde, a donné le coup d’envoi d’un torrent d’attaques de la chaîne d’approvisionnement qui pèsent encore aujourd’hui sur les entreprises. Au cours d’une année qui a vu les cyberattaques contre les réseaux d’entreprise augmenter de 50 % dans tous les domaines, les éditeurs de logiciels comme SolarWinds ont connu la plus forte croissance d’une année sur l’autre, avec une augmentation de 146 %. L’économie des entreprises d’aujourd’hui est construite sur un réseau complexe de chaînes d’approvisionnement en logiciels, ce qui signifie que chaque nouvelle attaque contre un fournisseur de logiciels aggrave la vulnérabilité des entreprises du monde entier.

Le catalyseur Sunburst

Cette attaque Supply Chain du logiciel SolarWinds a été facilitée par une porte dérobée connue sous le nom de “Sunburst”, intégrée au système SolarWinds Orion avant d’être distribuée aux clients du monde entier via une mise à jour de routine. Le groupe APT (advanced persistent threat) impliqué a ainsi pu accéder secrètement aux réseaux de milliers de clients de SolarWinds, allant des agences gouvernementales aux entreprises du Fortune 500.

Malheureusement, ce mode d’attaque des groupes APT est maintenant en hausse. Comme le détaille notre rapport, le groupe de ransomware REvil a ciblé plusieurs fournisseurs de services gérés (MSP) tout au long de l’année 2021, et a réussi en juillet à intégrer une mise à jour logicielle malveillante dans l’outil de gestion des correctifs et de surveillance des clients de la société informatique Kaseya. Des milliers d’entreprises peu méfiantes ont été touchées, et des millions de dollars américains ont été demandés en rançon.

Sunburst a aussi probablement inspiré l’attaque contre Colonial Pipeline, qui transporte près de la moitié du carburant consommé sur la côte Est des États-Unis. Le groupe APT  DarkSide serait à l’origine de l’attaque, utilisant un modèle de Ransomware-as-a-Service, ce qui signifie qu’il s’est appuyé sur des programmes d’affiliation tiers pour orchestrer la faille.

C’est l’un des exemples les plus frappants à ce jour démontrant que les outils utilisés pour mener de telles attaques se démocratisent et sont de plus en plus utilisés, ce qui augmente à nouveau la pression sur les entreprises pour qu’elles protègent leurs périmètres.

Bien que les actifs du groupe de ransomware REvil aient depuis été saisis et que ses meneurs aient été arrêtés, il est impossible d’arrêter un code. Une fois qu’un groupe de menace a réussi à percer avec une attaque particulière, il ne faut pas grand-chose pour qu’un membre affilié continue sur sa lancée. Emotet, l’un des botnets les plus dangereux de l’histoire, a fait son retour en novembre 2021 après avoir été démantelé un an plus tôt.

C’est un cheval de Troie qui se propage principalement via des liens, des spams, des scripts malveillants et des fichiers de documents contenant des macros. Une fois qu’il a infecté un utilisateur, il peut se répandre comme une traînée de poudre sans être détecté, et voler les identifiants bancaires et les données financières de particuliers, d’entreprises et de gouvernements du monde entier.

Piégées par des vulnérabilités de type zero-day

Si les attaques ciblées comme celles décrites ci-dessus représentent une menace accrue pour les entreprises du monde entier, il en va de même pour les exploits et les vulnérabilités. En décembre dernier, une vulnérabilité d’exécution de code à distance a été signalée dans Apache Log4j, la bibliothèque de journalisation java la plus populaire au monde.

Cette bibliothèque est intégrée à presque tous les services et applications que nous utilisons au quotidien, de Twitter et Amazon à Microsoft et Minecraft. Initialement utilisé par certains acteurs de la menace pour tirer profit des ressources de minage de crypto-monnaies aux dépens de leurs victimes, il n’y a aucune raison pour qu’un exploit comme celui-ci ne puisse pas être utilisé pour des attaques plus sophistiquées et délétères. Nos équipes d’experts ont détecté environ 40 000 tentatives d’attaque seulement 2 heures après que la vulnérabilité Log4j a été révélée, et 830 000 autres tentatives d’attaque 72 heures après l’événement.

Ces vulnérabilités de type zero-day doivent leur nom à leur capacité à aveugler complètement les entreprises, ne leur laissant pratiquement aucun temps de réaction avant de devenir des victimes potentielles. Il s’agit alors d’une course entre les acteurs de la menace et leur capacité à exploiter la vulnérabilité, et la rapidité avec laquelle les entreprises peuvent combler l’écart dans leurs défenses.

Les menaces mondiales nécessitent une solution mondiale

Le climat de menace a changé. La ligne traditionnelle de défense que les entreprises peuvent tracer entre elles et le reste du cyber-paysage est devenue tellement floue qu’elle pourrait tout aussi bien ne pas exister. Au lieu de garder un périmètre statique, les entreprises doivent adopter une vision plus globale et en temps réel de leur infrastructure de sécurité.

Les professionnels de la sécurité doivent pouvoir conserver une visibilité à 360 degrés de l’ensemble de leur réseau, quelle que soit la distance à laquelle il a été distribué. Ils doivent également avoir accès à des renseignements en temps réel sur les menaces à l’échelle mondiale, afin de pouvoir anticiper les vulnérabilités de type “zero-day” de grande envergure et les attaques ciblées de la chaîne d’approvisionnement des logiciels comme celles décrites ci-dessus.

Si les organisations du monde entier veulent fonctionner en toute sécurité durant le second semestre de 2022 et dans les années à venir, elles doivent commencer à appréhender la cybersécurité comme étant un problème mondial et non pas local, et faire évoluer leurs stratégies de sécurité en conséquence. Ce n’est que par ce biais qu’elles pourront se défendre en toute confiance contre un paysage de menaces qui ne connaît pas de limites ni de frontières.

Leave a Reply

Your email address will not be published. Required fields are marked *