Une analyse des données recueillies par l'Institut national des normes et de la technologie (NIST) des États-Unis sur les vulnérabilités et expositions communes (CVE) a révélé que 2020 a vu plus de rapports sur les failles de sécurité que toute autre année à ce jour.
Le rapport de Redscan, un fournisseur de services de sécurité gérés, révèle que 18 103 vulnérabilités ont été signalées l'année dernière, la plupart (10 342) étant classées comme étant d'une gravité élevée ou critique. En fait, le nombre de bogues critiques et de haute gravité divulgués en 2020 a dépassé la somme totale des vulnérabilités divulguées en 2010.
Parmi les principales conclusions, on note une augmentation des failles de sécurité qui ne nécessitent aucune interaction de la part de l'utilisateur. Celles-ci représentaient 68 % de tous les CVE signalés au NIST en 2020. « Les professionnels de la sécurité devraient s'inquiéter du fait que plus des deux tiers des vulnérabilités enregistrées en 2020 ne nécessitent aucune interaction de l'utilisateur, quelle qu'elle soit, pour être exploitées. Les attaquants qui exploitent ces vulnérabilités n'ont même pas besoin de leurs cibles pour effectuer involontairement une action, comme cliquer sur un lien malveillant dans un courriel. Cela signifie que les attaques peuvent facilement passer inaperçues », souligne Redscan.
Il existe de nombreux exemples de ces vulnérabilités, dont une faille critique d'exécution de code à distance as CVE-2020-5902 qui a affecté les dispositifs de réseau polyvalents BIG-IP de F5 Networks.
La part des failles de sécurité qui ne nécessitent aucun privilège d'utilisateur a chuté de 71 % en 2016 à 58 % en 2020. Pendant ce temps, le nombre de vulnérabilités qui nécessitent des privilèges de haut niveau a augmenté. Cela se traduit par un effort accru des cybercriminels qui recourent à des attaques classiques éprouvées comme le phishing pour cibler des marques de grande valeur.
« Les utilisateurs disposant d'un haut degré de privilèges, tels que les administrateurs système, sont une cible privilégiée car ils sont capables d'ouvrir davantage de portes aux attaquants », explique Redscan.
Le rapport poursuit en soulignant d'autres aspects des vulnérabilités au-delà de la gravité dont les gens doivent se méfier. Quelque 4 000 failles ont été trouvées pour répondre aux pires des conditions. Il s'agit de CVE qui ont une faible complexité d'attaque, ne nécessitent aucun privilège ou interaction de la part de l'utilisateur et ont une confidentialité désignée comme élevée.
Redscan conclut ses conclusions sur une note sombre, en soulignant que bien que les vulnérabilités critiques et de haute gravité devraient être au premier plan la plupart du temps, les équipes de sécurité « ne devraient pas perdre de vue les vulnérabilités de niveau inférieur ».
« Lorsqu'elles analysent le risque potentiel que posent les vulnérabilités, les organisations doivent prendre en compte plus que leur seul score de gravité. De nombreux CVE ne sont jamais ou rarement exploités dans le monde réel car ils sont trop complexes ou exigent que les attaquants aient accès à des privilèges de haut niveau. Sous-estimer ce qui semble être des vulnérabilités à faible risque peut laisser les organisations ouvertes à un enchaînement, dans lequel les attaquants passent d'une vulnérabilité à une autre pour y accéder progressivement à des stades de plus en plus critiques », précise George Glass, responsable du renseignement sur les menaces chez Redscan.