3D zero-day vulnerability refers to a security flaw in software

Exploits de zéro-jours spécifiques à l’entreprise, avertit Google

Lucas Morel

Les vulnérabilités dans les réseaux d’entreprises et les appareils de sécurité ont représenté près de la moitié des défauts zéro-jours exploités par les attaquants l’année dernière, selon le groupe de renseignement de Google.

Les vulnérabilités zéro-day ont peut-être diminué en 2024, mais le nombre de défauts dans les produits d’entreprise qui n’avait pas de correctif au moment de l’exploitation augmente, soulignant l’augmentation des attaquants ciblés dans l’exploitation des logiciels et des appareils d’entreprise pour obtenir un accès initial aux réseaux d’entreprise.

« Bien que l’accent historique sur l’exploitation des technologies populaires des utilisateurs finaux et de leurs utilisateurs se poursuive, la transition vers un ciblage accru des produits axés sur l’entreprise nécessitera un ensemble plus large et plus diversifié de fournisseurs pour augmenter les mesures de sécurité proactives afin de réduire les futures tentatives d’exploitation zéro-jour », ont écrit des chercheurs du groupe de renseignements sur les menaces de Google.

GTIG a suivi un total de 75 vulnérabilités de jour zéro en 2024, contre 98 en 2023. Des défauts d’entreprise ciblés identifiés, 33 technologies d’entreprise ciblées (44%), une augmentation de 7% par rapport à 2023, principalement alimentée par une exploitation accrue des appareils de sécurité et de réseautage.

Les 42 autres jours zéro que Google a classés comme un impact sur les produits de l’utilisateur final sont des vulnérabilités dans les systèmes d’exploitation et les navigateurs, ce qui a également un impact sur les entreprises.

Navigateur et mobile zéro-jours déclinant

Microsoft Windows a connu la plus forte augmentation de l’exploitation zéro-jours l’année dernière avec 22 défauts contre 16 en 2023. Android a vu l’exploitation de sept défauts zéro-jours, à égalité avec 2023, tandis que les jours zéro iOS sont considérablement passés de neuf à deux.

Sur le front du navigateur, Google Chrome a été ciblé à travers sept vulnérabilités non corrigées, Mozilla Firefox via un et Safari d’Apple avec trois (contre 11 en 2023).

En raison des couches de sécurité supplémentaires sur les appareils mobiles tels que le sandboxing d’application, l’exploitation nécessite généralement du chainage de plusieurs vulnérabilités ensemble pour réaliser une exécution de code distante avec des privilèges élevés. Les appareils mobiles, y compris les navigateurs mobiles, sont particulièrement ciblés par les fournisseurs de surveillance commerciale (CSV) qui vendent leurs produits aux gouvernements et aux agences de renseignement. Ces clients cherchent généralement à obtenir des informations à partir des téléphones portables de leurs cibles de surveillance, à distance ou par un accès physique.

Un exemple est une chaîne d’exploitation qui a combiné trois vulnérabilités pour déverrouiller le téléphone Android saisi d’un militant étudiant en Serbie l’année dernière avec un produit développé par Cellebrite, une société de légiste numérique israélienne. L’une des vulnérabilités utilisées dans la chaîne, CVE-2024-53104, affecte le pilote du noyau de classe vidéo USB Android (UVC) et a été corrigé en février. Les deux autres vulnérabilités, CVE-2024-53197 et CVE-2024-50302, ont été corrigées dans le noyau Linux, sur lequel Android est basé.

« Alors que nous nous attendons toujours à ce que les acteurs soutenus par le gouvernement continuent leur rôle historique en tant qu’acteurs majeurs dans l’exploitation zéro-jour, les CSV contribuent désormais un volume important d’exploitation zéro-jour », ont déclaré les chercheurs de Google GTIG. «Bien que le nombre total et la proportion de jours zéro attribués aux CSV ont diminué de 2023 à 2024, probablement en raison de leur accent accru sur les pratiques de sécurité opérationnelle, le décompte de 2024 est encore considérablement plus élevé que le nombre de 2022 et des années auparavant.»

Surtension de l’exploitation des périphériques de bord réseau

Sur les 33 vulnérabilités zéro jour dans les produits spécifiques à l’entreprise, 20 appareils matériels ciblés généralement situés au bord du réseau, tels que les VPN, les passerelles de sécurité et les pare-feu. L’année dernière, les cibles notables comprenaient l’Ivanti Cloud Services Appliance, Palo Alto Networks ‘Pan-OS, Cisco Adaptive Security Appliance et Ivanti Connect Secure VPN.

Les attaques ciblées contre ces périphériques de bord de réseau étaient l’une des différentes tendances d’exploitation de plusieurs jours zéro pour 2024.

En fait, avec un total de sept jours zéro exploités dans ses produits l’année dernière, Ivanti est devenu le troisième vendeur le plus ciblé, après Microsoft et Google et devant Apple, qui a tenu la troisième place des années précédentes.

Il y a plusieurs raisons pour lesquelles ces produits sont des cibles attrayantes, à part l’accès direct depuis Internet dans de nombreux cas. Tout d’abord, ils sont conçus pour connecter divers appareils et utilisateurs avec des privilèges élevés. En tant que tels, ils offrent une excellente occasion d’effectuer un mouvement latéral à l’intérieur d’un réseau.

Deuxièmement, ces appareils exécutent des systèmes d’exploitation intégrés afin que les équipes de sécurité ne puissent pas déployer leurs outils de détection et de réponse habituels. Ce manque de visibilité signifie qu’un compromis d’un tel appareil peut être inconnu pendant longtemps.

Enfin, selon GTIG, la réalisation de l’exécution de code distante ou l’escalade de privilège sur ces appareils est généralement plus facile et ne nécessite pas de chaînes d’exploitation complexes. En conséquence, les attaques obtiennent plus de valeur des vulnérabilités individuelles, avec moins d’efforts pour développer des exploits de travail.

L’augmentation de l’exploitation des périphériques de périmètre du réseau a également été observée par la division mandiante de Google, spécialisée dans les enquêtes sur la réponse aux incidents. Dans son propre rapport annuel, Mandiant a noté que les exploits de vulnérabilité sont restés la principale méthode d’accès initiale en 2024 et que les vulnérabilités dans les appareils de sécurité et de réseautage étaient en haut de la liste des défauts exploités.

Objectifs et motivations derrière l’exploitation zéro jour

Les groupes de cyberespionnage étaient responsables du plus grand nombre de jours zéro l’année dernière (17), avec des groupes chinois responsables de cinq, la Corée du Nord pour cinq, la Russie pour un et la Corée du Sud pour un. La Corée du Nord est un cas spécial car ses groupes approfondis se livrent à la fois dans le cyberespionnage et les crimes financièrement motivés pour financer le régime. Deux autres défauts zéro-jours ont été attribués à des groupes russes qui ne sont pas affiliés à l’État, mais se livraient également à des délits financiers et à un cyberespionnage.

Trois jours zéro ont été utilisés dans des attaques de cyberespionnage qui n’ont pas fait pour donner des informations suffisantes sur l’emplacement des attaquants. Les CSV étaient responsables de huit jours zéro, suivis de groupes à motivation financière non soutenus par l’État avec cinq.

« Nous avons attribué l’exploitation de 34 vulnérabilités zéro jour en 2024, un peu moins de la moitié du total des 75 que nous avons identifiés en 2024 », ont écrit les chercheurs du GTIG. « Bien que la proportion d’exploitation que nous puissions attribuer à un acteur de menace a légèrement chuté de notre analyse des jours zéro en 2023, il est toujours significativement plus élevé que les ~ 30% que nous avons attribués en 2022. »

En ce qui concerne les types de défauts, la source la plus courante de vulnérabilités était les problèmes de mémoire de l’utilisation (8), suivis de l’injection de commande OS (8) et des problèmes de script de site transversal (XSS) (6). Les faiblesses des injections de commande et de code ont été presque exclusivement rencontrées sur les appareils réseau et les appareils de sécurité et les logiciels. L’exécution du code à distance et l’escalade des privilèges ont été les impacts les plus courants des défauts zéro jour identifiés en 2024.

« La défense contre l’exploitation zéro-jour continue d’être une race de stratégie et de hiérarchisation », a déclaré l’équipe du GTIG. «Non seulement les vulnérabilités zéro-jour deviennent plus faciles à se procurer, mais les attaquants qui trouvent l’utilisation dans de nouveaux types de technologie peuvent forger les fournisseurs moins expérimentés. Bien que les organisations aient historiquement été laissées à la priorité des processus de correction basés sur les menaces personnelles ou organisationnelles et les surfaces d’attaque, les tendances plus larges peuvent éclairer une approche plus spécifique aux côtés des leçons apprises des efforts de mitigation des principaux fournisseurs.». « 

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission