Mais la portée de ces exploitations, la diversité des applications ciblées et, pour finir, les conséquences pour les entreprises sont également remarquables. Pour y faire face, les entreprises doivent améliorer leur capacité et temps de réponse.

Si l’on se penche sur les 12 derniers mois, plusieurs attaques notables soulignent la nécessité pour les entreprises d’améliorer leur temps de réponse :

• ProxyLogon : lorsque près de 17 000 clients de SolarWinds avaient été compromis, beaucoup ont été surpris par l’ampleur de la compromission. Deux semaines après la publication par Microsoft d’un correctif pour ProxyLogon, l’entreprise a signalé que 30 000 serveurs Exchange étaient toujours vulnérables (selon des estimations moins prudentes, ce chiffre s’élevait à 60 000).

• ProxyShell : ce groupe de trois vulnérabilités distinctes (CVE-2021-31207, CVE-2021-34473 et CVE-2021-34523), a été le deuxième événement majeur de l’année pour Exchange après ProxyLogon. En août, une présentation de Black Hat soulignant les vulnérabilités d’Exchange Server a été suivie le lendemain par la publication d’un POC d’exploitation, toutes ces vulnérabilités ayant été corrigées par Microsoft plusieurs mois auparavant, en avril/mai. Cette analyse des données capturées par Shodan une semaine après la publication de l’exploit POC a conclu que plus de 30 000 serveurs Exchange étaient encore vulnérables, tout en notant que les données peuvent avoir sous-représenté la portée totale (c’est-à-dire que Shodan n’avait pas eu le temps de scanner l’ensemble de l’Internet). En résumé, le problème a été corrigé au printemps et exploité à l’automne. Finalement, les vulnérabilités du Microsoft Client Access Service ont été exploitées par des acteurs de la menace qui ont déployé des shells web pour exécuter un code arbitraire sur des appareils mobiles et des navigateurs web compromis.

• vCenter Server : en mai dernier, VMWare a publié un correctif pour une vulnérabilité d’exécution de code à distance dans vCenter Server. Une analyse ultérieure a conclu que plus de 4 000 systèmes restaient vulnérables une semaine après la publication du correctif. À l’instar des serveurs Exchange, dont une entreprise typique n’héberge qu’une poignée de serveurs, 4 000 serveurs vCenter vulnérables représentent probablement des milliers d’entreprises distinctes.

• Kaseya VSA : le 2 juillet, REvil a lancé une campagne de ransomware sans précédent contre les serveurs VSA accessibles au public. En deux jours, le CSIRT de la DIVD a signalé que le nombre de serveurs VSA exposés était passé de 2 200 à 140. Certaines estimations suggèrent qu’environ 50 MSP ont été compromis, affectant entre 800 et 1500 entreprises. L’application de correctifs à 94 % des systèmes touchés en deux jours a sûrement contribué à réduire le succès des imitateurs de REvil.

Conséquemment, les attaquants et les chercheurs en sécurité continueront donc à perfectionner leur art de sorte que la mise en place d’exploits armés et de POC dans les heures qui suivent la divulgation de la vulnérabilité ne seront plus une surprise. En contrepartie, et principalement en raison des conséquences accrues d’une compromission, est attendu un regain de diligence en matière de gestion des actifs et des correctifs. Qu’il s’agisse d’identifier les ressources accessibles au public ou de déployer rapidement des correctifs en dépit d’une éventuelle interruption des activités, les entreprises s’efforceront de réduire le délai de mise en œuvre des correctifs.