Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Stonesoft découvre de nouvelles AET et les livre au CERT Finlandais

février 2011 par Stonesoft

Stonesoft, fournisseur de solutions de sécurité réseau intégrées et de continuité de l’activité, annonce aujourd’hui sa découverte de 124 nouvelles AET (Advanced Evasion Techniques). Des échantillons de ces AET ont été livrés à la Computer Emergency Response Team (CERT-FI) qui va continuer à coordonner la gestion de ces vulnérabilités au niveau mondial.

La première découverte des AET a été annoncée en octobre 2010. Depuis lors, Stonesoft a continué ses recherches dans le domaine, ce qui a mené la R&D à découvrir 124 nouvelles menaces. Stonesoft mène à bien ses recherches dans ses laboratoires, mais également « in the wild »

A l’issue de la publication de l’alerte de sécurité du CERT-FI annonçant les 23 premières AET, beaucoup d’éditeurs ont déclaré avoir corrigé les failles dans leurs produits.

Cependant, les tests réels menés par les laboratoires de recherche de Stonesoft montrent que les AET savent toujours pénétrer ces systèmes sans être détectées.

Dans d’autres cas, une modification minuscule d’une AET (comme le changement des byte size et de la segmentation offset) suffit à lui permettre de contourner les mécanismes de détection.

Ceci démontre bien que la plupart des éditeurs se contentent de délivrer des correctifs temporaires et trop peu flexibles face au phénomène en expansion des AET, au lieu de mener des recherches approfondies sur la façon de solutionner le problème fondamental d’architecture qui permet à ces vulnérabilités de pénétrer les réseaux.

Joona Airamo, Chief Information Security Officer chez Stonesoft, explique : « Il semblerait que ceux qui déclarent protéger à 100 % contre les Advanced Evasion Techniques n’aient pas véritablement compris l’ampleur du problème et n’aient pas suffisamment fait de recherches autour du phénomène. Les découvertes qui ont été faites jusqu’alors ne représentent que la partie visible de l’iceberg. »

Les techniques d’évasion traditionnelles et avancées sont devenues un sujet d’inquiétude croissant au sein de la communauté sécurité réseau. Dans son Network IPS Group Test Q4 de 2010, le laboratoire indépendant de test NSS Labs a qualifié les évasions de type fragmentation IP et TCP de menaces graves, précisant également que « si un pirate est capable d’éviter la détection en fragmentant les paquets ou en segmentant les flux TCP, un Système de Prévention des Intrusions (IPS) ne verra, lui, aucune attaque. »

« Une évasion passée inaperçue signifie qu’un pirate peut s’appuyer sur tout un ensemble d’exploits pour tromper un produit de sécurité, et donc le rendre virtuellement inutile. De plus, pour un pirate, combiner certaines évasions augmente encore la probabilité de réussir un exploit et donc de mettre sérieusement en danger une entreprise » explique Rick Moy, président des NSS Labs.

Bien qu’il n’existe pas de solution unique pour éliminer le fléau que représentent les AET, les entreprises peuvent au moins réduire les risques et se rendre moins vulnérables. Pour ce faire, elles peuvent par exemple, s’assurer que leurs

dispositifs de sécurité sont bien équipés des process de normalisation multicouches, qui fonctionnent sur l’ensemble des protocoles et pour chaque connexion. Avoir des solutions équipées d’une administration centralisée reste également essentiel. Elle permet en effet des mises à jour permanentes à tous les niveaux de l’architecture réseau. Malheureusement, le fingerprinting et les signatures, les réponses habituelles face aux exploits, ne fonctionnent pas avec les AET, qui, par nature, sont dynamiques, combinées et en constante évolution.

Bob Walder, directeur des recherches de Gartner Inc qui a largement commenté les AET dans sa note de recherche de novembre 2010, intitulée Advanced Evasion Techniques (AET) : Weapon of Mass Destruction or Absolute Dud, explique : « Les techniques d’évasion ne sont certes pas nouvelles mais elles représentent malgré tout une véritable menace pour la sécurité des infrastructures réseau qui protègent les gouvernements, et les organisations commerciales partageant des informations à l’échelle mondiale. Les recherches récentes sur le sujet ont remis le sujet au goût du jour et c’est une bonne chose. Les éditeurs de sécurité réseau doivent désormais dédier du temps et des ressources à la recherche d’une solution pour contrer ce problème. »

Stonesoft a également publié des descriptifs des parquets captures pour plusieurs AET initialement révélées par le CERT-FI en 2010




Voir les articles précédents

    

Voir les articles suivants