Les CVE exploités ont augmenté d’un cinquième en 2024, selon l’analyse de Vulncheck, avec une transparence accrue et une surveillance améliorée jouant un rôle. Pourtant, les mesures proactives sont vitales.
Près d’une vulnérabilités exploitées connues sur quatre (24%) découvertes l’année dernière a été maltraitée le jour ou avant le jour de la divulgation publique de leurs CVE.
Une étude des spécialistes de l’exploit et de la vulnérabilité Vulncheck a identifié 768 CVE qui ont été publiquement signalés comme exploités dans la nature pour la première fois l’année dernière, une augmentation de 20% par rapport aux 639 CVE confirmé comme exploitée pour la première fois en 2023.
Bien qu’environ un quart des vulnérabilités soient touchées avant qu’un patch ne soit disponible, la majorité est abusée longtemps après la sortie d’un correctif de sécurité. Environ la moitié des vulnérabilités sont exploitées pour la première fois dans les 192 jours suivant le correctif, mais beaucoup sont des mois ou même des années après le correctif. Par exemple, après 1 000 jours – près de trois ans – seulement environ 75% des vulnérabilités qui finissent par être exploitées seront touchées.
L’étude de Vulncheck est basée sur les données de 100 sources, y compris les sociétés de sécurité et les agences gouvernementales et les organisations à but non lucratif telles que Shadow Server.
Plus grande transparence sur les vulnérabilités
L’augmentation des divulgations du CVE provenant de sources dans diverses industries aide (au moins) expliquer l’augmentation des vulnérabilités exploitées enregistrées entre les éditions annuelles successives de l’étude de Vulncheck.
« L’augmentation rapportée est en partie une combinaison à la fois d’une augmentation des exploitations et de plus de sources de données », selon Vulncheck. «Il y a une plus grande visibilité liée aux exploitations parce que davantage d’organisations, de fournisseurs et d’équipes de recherche en sécurité signalent des exploitations et divulguent publiquement des preuves.»
(Voir aussi: Gestion des patchs: une douleur it terne qui ne disparaîtra pas)
Matthias Held, directeur de programme technique chez BugCrowd, a également noté cette tendance: «Les entreprises reconnaissent de plus en plus leurs responsabilités de cybersécurité, ce qui conduit à une plus grande transparence concernant les vulnérabilités. Le volume de CVE divulgué publiquement contribue sans aucun doute à cette tendance, faisant potentiellement une représentation plus précise de l’impact réel sur les systèmes exploitables. »
Les divulgations WordFence sont une composante des recherches de Vulncheck, donc les chiffres des attaques contre WordPress sont une partie importante du mélange. WordPress est un objectif majeur pour l’exploitation car il alimente environ 40% des sites Web, ce qui est susceptible d’avoir un effet inflationniste sur les chiffres annuels d’exploitation de Vulncheck, selon Held.
« Le nombre (des vulnérabilités) augmentera par l’exploitabilité facile de cisaillement des applications Web fonctionnant sur des versions vulnérables (de WordPress) », a déclaré Held.
De plus, plus d’entreprises sont désormais CNA (autorités du nombre de CVE). Avec plus d’organisations émettant CVES, le taux de leur publication est naturellement tenu d’augmenter avec le temps.
«Je crois que ces données rappellent brutales que nous devons prioriser des stratégies de gestion de vulnérabilité robustes dans toutes les organisations, y compris des initiatives complètes de partage des renseignements sur les menaces et des efforts d’atténuation des attaques en temps réel», a conclu Held.
Construire le cas pour une sécurité proactive
Boris Cipot, ingénieur principal de la sécurité de la société d’analyse de composition de logiciels Black Duck, a déclaré que plusieurs facteurs contribuent à l’augmentation des vulnérabilités exploitées, y compris des améliorations de la surveillance.
« Le logiciel que nous utilisons peut simplement contenir plus de vulnérabilités, ou ces vulnérabilités sont signalées et découvertes plus efficacement », a déclaré Cipot. «Certaines vulnérabilités restent non corrigées pendant de longues périodes, ce qui donne aux attaquants plus de temps pour les exploiter.»
L’impact des vulnérabilités exploitées, quelle que soit leur cause, souligne la nécessité de mesures de sécurité proactives.
«Les organisations doivent investir dans des outils d’observabilité qui surveillent leur environnement et détectent une activité suspecte», a déclaré Cipot. «L’adoption d’une approche zéro fiducie peut encore améliorer la sécurité en limitant l’accès et en réduisant les risques.»
Kevin Robertson, CTO de Acumen Cyber, a déclaré que la recherche a souligné comment le délai nécessaire pour que les organisations appliquent des correctifs se raccourcissent.
« Bien que les résultats indiquent une augmentation des CVE activement exploités, cette tendance est probablement tirée par la dépendance croissante à l’égard des logiciels tiers », a déclaré Robertson. «Les entreprises modernes dépendent fortement des applications et des services tiers, qui élargissent la surface d’attaque potentielle.»
Robertson a conseillé: «Alors que les organisations intègrent de plus en plus des logiciels tiers dans leur environnement, la gestion de la vulnérabilité proactive doit être intégrée à leurs stratégies de sécurité.»
Des informations d’identification compromises plutôt que des bugs blâmés pour plus de violations
Rapid7 a déclaré avoir vu l’exploitation de la vulnérabilité diminuer d’une année sur l’autre en tant que vecteur d’accès initial en 2024, au milieu d’une vague d’ingénierie sociale et de l’abus croissant des informations d’identification divulguées pour pirater des systèmes distants avec des contrôles de sécurité faibles ou absents.
Lorsque les vulnérabilités ont conduit à des violations, selon l’équipe de détection et de réponse gérée de Rapid7 (MDR), cela résulte de bogues plus anciens plutôt que de 0 jours.
La plupart des vulnérabilités Rapid7 MDR confirmées comme exploitées dans la nature en 2024 ont ciblé les applications de transfert de fichiers et les périphériques de bord de réseau, que ces vulnérabilités aient été exploitées ou non, a déclaré Condon.
