Les analystes en sécurité de Google Mandiant alertent sur une tendance inquiétante : les cyber-criminels semblent de plus en plus habiles à identifier et exploiter les vulnérabilités zero-day dans les logiciels.
Sur les 138 vulnérabilités révélées comme étant activement exploitées en 2023, Mandiant indique que 97 d’entre elles (soit 70,3 %) ont été utilisées en tant que zero-days.
Cela signifie que les cyber-attaquants ont tiré parti de ces failles lors d’attaques avant que les fournisseurs concernés ne prennent connaissance de leur existence ou n’aient pu les corriger.
Entre 2020 et 2022, le ratio de vulnérabilités corrigées (n-days) par rapport aux zero-days restait relativement stable à 4:6. Cependant, en 2023, ce ratio a basculé à 3:7.
Google explique que cette évolution n’indique pas une baisse des n-days exploités, mais plutôt une augmentation des exploitations de zero-days et une capacité améliorée des éditeurs de sécurité à les détecter.
Cette intensification des activités malveillantes, ainsi que la diversification des produits ciblés, se reflète également dans le nombre de fournisseurs touchés par des vulnérabilités activement exploitées, qui a atteint un niveau record en 2023 avec 56, contre 44 en 2022 et 48 en 2021.
Des délais de réponse de plus en plus courts
Un autre phénomène significatif noté concerne le temps nécessaire pour exploiter une vulnérabilité nouvellement divulguée (n-day ou 0-day), qui est désormais réduit à seulement cinq jours.
Pour mettre cela en perspective, entre 2018 et 2019, ce délai était de 63 jours, tandis qu’il était de 32 jours en 2021-2022. Cela laissait une marge de manœuvre considérable aux administrateurs système pour planifier l’application de correctifs ou la mise en place de mesures de sécurité.
Avec un délai désormais ramené à 5 jours, des stratégies comme la segmentation du réseau, la détection en temps réel et la priorisation urgente des correctifs deviennent cruciales.
Par ailleurs, Google ne constate aucune corrélation entre la divulgation des exploits et le délai d’exploitation.
En 2023, 75 % des exploits ont été rendus publics avant que leur exploitation dans la nature ne commence, tandis que 25 % ont été publiés après que les hackers aient déjà exploité les failles.
Deux exemples présentés dans le rapport soulignent l’absence de relation constante entre la disponibilité des exploits publics et l’activité malveillante : CVE-2023-28121 (plugin WordPress) et CVE-2023-27997 (Fortinet FortiOS).
Dans le premier cas, l’exploitation a commencé trois mois après la divulgation, soit dix jours après qu’un proof-of-concept ait été publié.
Concernant le cas de FortiOS, la faille a été exploitée presque immédiatement dans des exploits publics, mais le premier événement d’exploitation malveillante a été enregistré quatre mois plus tard.
La difficulté d’exploitation, la motivation des cybercriminels, la valeur cible et la complexité d’ensemble de l’attaque jouent tous un rôle dans le délai d’exploitation. Selon Google, il n’existe pas de corrélation directe ou isolée avec la disponibilité des proof-of-concept.
Notre point de vue
Cette dynamique croissante autour des vulnérabilités zero-day souligne l’importance d’une vigilance accrue au sein des entreprises. Les délais de réponse réduits signalent un besoin urgent d’adapter les stratégies de cybersécurité. À l’avenir, il sera essentiel de renforcer les capacités de détection et d’anticipation des menaces, tout en équilibrant les efforts entre l’identification des failles bien connues et la protection contre les nouvelles technologies. Chaque acteur de ce domaine a un rôle à jouer pour limiter l’impact de ces attaques de plus en plus sophistiquées.
- Source image(s) : www.bleepingcomputer.com
- Source : https://www.bleepingcomputer.com/news/security/google-70-percent-of-exploited-flaws-disclosed-in-2023-were-zero-days/