Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Skybox Security alerte sur des vulnérabilités critiques non signalées

novembre 2018 par Skybox Security

Il est courant dans le cadre de projets open source que des vulnérabilités critiques ne soient pas signalées – elles sont découvertes, divulguées aux parties concernées et, dans le meilleur des cas, corrigées sans que personne ne dépose une CVE. Il s’agit en général d’un manque de sensibilisation ou d’un processus perçu comme fastidieux.

En 2017, parmi les identifiants CVE attribués par les CNA (CVE Numbering Authorities), environ 7000 ont le statut « reserved », qui désigne les identifiants qui ont été assignés mais qui n’ont pas fait l’objet d’une mise à jour comprenant d’importants détails. Ce constat est d’autant plus surprenant que 1342 de ces identifiants ont déjà été rendus publics, augmentant la probabilité que des exploits aient été développés. Cette pratique d’inversion sous-entend deux problèmes majeurs : tout d’abord, le fait que le NVD et Mitre ne maintiennent pas leurs données correctement, et deuxièmement, que certains CNA ne partagent peut-être pas leurs informations comme ils le devraient.

Un impact considérable pour les entreprises. Comment le traiter pour le corriger au mieux ?

Les entreprises ayant mis en place des projets open source, terreaux fertiles des vulnérabilités non signalées, pourraient elles-mêmes les inspecter à la recherche de vulnérabilités, mais cela prendrait énormément de temps et serait difficile à mettre en place à grande échelle. Les attaquants, quant à eux, peuvent inspecter les projets de bibliothèques populaires et identifier ces problèmes assez facilement. Le développement d’un exploit pour de telles vulnérabilités aurait une portée potentiellement large.

Les outils de sécurité comme les scanners de vulnérabilités qui s’appuient uniquement sur le CVE en matière d’identification de vulnérabilités risquent de passer à côté d’un grand nombre de vecteurs d’attaque potentiels, ne fournissant aux équipes de sécurité qu’une vision partielle du risque. Les entreprises doivent adopter une stratégie pour aller au-delà des scanners, de façon à exploiter d’autres sources de données que celles de la NVD, pour découvrir les vulnérabilités existantes au sein de leur organisation.

Plus important encore, une fois identifiées, il faut que les vulnérabilités soient analysées dans le contexte de l’impact commercial potentiel d’un exploit, de l’exposition au sein du réseau et de la disponibilité et de l’activité de l’exploit « in the wild ». Il est ainsi possible, pour corriger les vulnérabilités, de se concentrer sur l’élimination des risques pour l’entreprise plutôt que d’essayer de courir après toutes les vulnérabilités critiques qui sont peu susceptibles d’être utilisées dans une attaque.


Voir les articles précédents

    

Voir les articles suivants