Alors que le phishing et les références volés restent des points d’entrée fréquents, la surexposition et la mauvaise gestion des patchs des systèmes critiques alimentent de plus en plus l’appétit des attaquants pour les perturbations.
Les acteurs de la menace exploitent de plus en plus des vulnérabilités pour attaquer les systèmes d’infrastructures critiques.
Les organisations d’infrastructures critiques ont représenté 70% de toutes les attaques auxquelles IBM X-Force a répondu l’année dernière, avec plus d’un quart de ces attaques effectuées en utilisant l’exploitation de la vulnérabilité.
Alvarez a ajouté: «Les défenseurs sont submergés par l’arriéré de correction, et les attaquants continueront à profiter pleinement jusqu’à ce que cela change.»
Sous le feu – et surexposant les systèmes critiques
« Les attaquants se sont appuyés davantage sur l’exploitation de la vulnérabilité pour entrer rapidement et tranquillement », a déclaré Dray Agha, directeur principal des opérations de sécurité dans la Huntress du fournisseur de détection et de réponse gérée. «Le phishing et les références volés jouent un rôle énorme, cependant, et nous voyons de plus en plus d’acteurs de menace cibler l’identité avant de sonder l’infrastructure.»
James Lei, chef de l’exploitation de la société de tests de sécurité des applications Sparrow, a ajouté: «Nous constatons un changement dans la façon dont les attaquants abordent les infrastructures critiques dans la mesure où ils ne parviennent pas seulement aux suspects habituels comme le phishing ou la farce des informations d’identification, mais ciblant de plus en plus les vulnérabilités dans les systèmes exposés qui n’ont jamais été destinés à être confrontés au public.»
Les VPN, les pare-feu et les serveurs Web hérités sont des points d’entrée courants, surtout lorsqu’ils n’ont pas été correctement corrigés ou exécutent le firmware hors de la date. Les dispositifs IoT et les systèmes de technologie opérationnelle (OT) n’offrent pas d’autres cibles pour l’exploitation potentielle.
Ian McGowan, directeur général de la société de cybersécurité Barrier Networks, a déclaré: «La majorité des attaques contre CNI (infrastructure nationale critique) ne sont pas des hacks nuls ou exotiques; ce sont des exploits simples des bases que nous avons du mal à gérer opérationnellement.»
Himaja Motheram, chercheur en sécurité dans la société de renseignement des menaces, a ajouté: «Alors que les attaquants exploitent les défauts traditionnels des logiciels, la plus grande préoccupation dans les infrastructures critiques est la disponibilité généralisée de systèmes non sécurisés et orientés Internet qui fournissent un accès direct à des services essentiels sans contrôles d’accès appropriés.»
L’un des problèmes fondamentaux les plus négligés est le nombre de systèmes critiques, tels que les interfaces de traitement de l’eau ou les systèmes d’imagerie médicale, qui sont exposés à l’Internet public sans aucune authentification ou par défaut / des informations d’identification faibles, selon Sparrow’s Lei.
«Dans ces cas, les attaquants n’ont même pas besoin de tirer parti des exploits; ils peuvent simplement se connecter», a expliqué Lei. « Le problème de base n’est pas seulement une classe de vulnérabilité particulière; c’est l’exposition systémique et l’accessibilité des systèmes sensibles qui ne devraient jamais être directement accessibles en premier lieu. »
Négocier le code d’exploitation
La Force d’IBM a trouvé quatre des 10 vulnérabilités et expositions communes les plus mentionnées (CVE) sur le Dark Web était liée à des groupes d’acteurs de menaces sophistiqués, y compris les agences de renseignement de l’État-nation.
«Les codes d’exploitation pour ces CVE ont été ouvertement échangés sur de nombreux forums – alimentant un marché croissant d’attaques contre les réseaux électriques, les réseaux de santé et les systèmes industriels», rapporte X-Force d’IBM.
La menace d’IBM Intel Arm ajoute: « Ce partage d’informations entre les adversaires financièrement motivés et d’État-nation met en évidence le besoin croissant de surveillance du Web sombre pour aider à éclairer les stratégies de gestion des patchs et à détecter les menaces potentielles avant d’être exploitées. »
Sur les 10 CVE mis en évidence dans le rapport de menace X-Force 2025 d’IBM, cinq d’entre eux ont eu un impact sur les dispositifs Edge et chacun a également été présenté dans le catalogue exploité des vulnérabilités (KEV) connues de la Cybersecurity et de l’infrastructure Agency (CISA).
Scott Caveza, ingénieur principal de la recherche du personnel chez Tenable, a déclaré: «Parce que ces appareils sont souvent critiques et les temps d’arrêt peuvent nécessiter une planification significative, cela peut être l’une des raisons pour lesquelles ces appareils sont corrigés moins fréquemment, même dans le sillage de vulnérabilités critiques qui leur ont affecté.»
Les attaquants ciblant les infrastructures critiques exploitent également les vulnérabilités non corrigées entre les systèmes d’exploitation hérités, ainsi que les systèmes de contrôle industriel.
« Ces systèmes restent souvent non corrigées pendant de plus longues périodes étant donné les risques de temps d’arrêt, ce qui en fait des cibles attrayantes », a déclaré Alvarez d’IBM X-Force. «En conséquence, les attaquants peuvent tirer parti des vulnérabilités pour prendre le contrôle des systèmes critiques et perturber les services essentiels.»
Appétit pour perturber
La liste des attaques contre les organisations d’infrastructures critiques qui s’appuient, entièrement ou en partie, l’exploitation de la vulnérabilité est importante et en croissance.
Les agences de sécurité gouvernementales américaines ont averti en février 2024 que des pirates chinois parrainés par l’État avaient pénétré de multiples réseaux d’infrastructures critiques, couvrant des secteurs de communication, d’énergie, de transport et d’eau, et maintenaient un accès persistant.
Le groupe Volt Typhoon a généralement accédé à l’accès initial en exploitant des vulnérabilités dans les appareils de réseau orientés publics de fournisseurs tels que Fortinet, Citrix et Cisco.
Les agences d’Intel ont averti que le groupe mettait en place la capacité de perturber ou de détruire les services en cas de crise ou de conflit majeure entre les États-Unis et la Chine.
Le hack de transfert Moveit a frappé plusieurs organisations de soins de santé et gouvernementaux en juin 2023 après une vulnérabilité de jour zéro dans le logiciel de transfert de fichiers d’entreprise exploité par Ransomware Group, un exemple de manuel d’une attaque en chaîne d’approvisionnement.
Un autre exemple est les attaques des cyberav3ngers contre les systèmes américains d’eau et d’eaux usées (2023-2024). Ce groupe, lié au Corps de la Garde révolutionnaire islamique (IRGC) de l’Iran, des contrôleurs logiques programmables Unitrammables Unitrammables (PLC) utilisés dans de nombreuses installations.
« En exploitant des interfaces exposées publiquement et des configurations de sécurité faibles, ils ont dégradé les interfaces de machine humaine (IMM) et, dans au moins un incident au Texas, les pompes à eau et les alarmes ont manipulé », a déclaré Bharat Mistry, directeur de la gestion des produits de la société de logiciels de cybersécurité, Trend Micro. «Ces attaques mettent en évidence les risques en cours posés par les systèmes de contrôle industriel vulnérables.»
Andy Thompson, analyste de la recherche en cybersécurité offensive de la société mondiale de sécurité d’identité Cyberark, a déclaré que la plus grande menace pour les infrastructures critiques est la perturbation de la disponibilité, comme en témoigne l’attaque de ransomware du pipeline colonial de mai 2021.
La violation du pipeline colonial a commencé par une connexion VPN compromise, mais c’est le manque d’authentification multi-facteurs et de mauvais correctifs qui lui a permis de dégénérer si sévèrement, selon Agha de Huntress.
L’attaque a perturbé l’approvisionnement en carburant et a déclenché l’achat de panique et les pénuries d’essence généralisées sur la côte est des États-Unis.
Contre-mesures
La menace croissante des systèmes d’infrastructures critiques, qui montre peu de signe de ralentissement, devrait inciter à repenser comment défendre les systèmes critiques.
«Les méthodes traditionnelles de défense ne sont pas suffisamment résilientes pour le paysage des risques évolutif d’aujourd’hui», a déclaré Andy Norton, agent européen de cyber-risque chez le fournisseur de cybersécurité Armis. «Les produits Legacy Point et les solutions de sécurité minces ne peuvent pas défendre adéquatement les systèmes contre les menaces modernes, qui incorporent de plus en plus l’IA. Et pourtant, trop peu d’organisations s’adaptent avec succès.»
Norton a ajouté: « Il est essentiel que les organisations cessent de réagir aux cyber-incidents une fois qu’ils se sont produits et se déplacent plutôt vers une posture de cybersécurité proactive qui leur permet d’éliminer les vulnérabilités avant de pouvoir être exploitées. »
Mark Hughes, associé directeur mondial de Cybersecurity Services chez IBM, a déclaré: «Les entreprises doivent se retirer d’un état d’esprit de prévention ad hoc et se concentrer sur des mesures proactives telles que la modernisation de la gestion de l’authentification, la branchement des menaces d’authentification multi-facteurs et la réalisation de la chasse aux menaces en temps réel pour découvrir des menaces cachées avant d’exposer des données sensibles.»
