Les hackers n'ont besoin que de 30 minutes pour pénétrer dans le réseau local d'une organisation

D’après une étude de Positive Technologies

Le 18 août 2020, par Nancy Rey

Les experts de Positive Technologies ont analysé la sécurité des systèmes d’information des entreprises et ont préparé un aperçu des failles de sécurité et des méthodes d’attaque les plus courantes. Ils ont formulé des recommandations pour améliorer la sécurité dans le rapport intitulé « Penetration Testing of Corporate Information Systems ». L’analyse a montré que pour 93 % des entreprises, les tests d’intrusion ont réussi à pénétrer le périmètre du réseau et à accéder au réseau local. 77 % des vecteurs d’attaque étaient liés à une protection insuffisante des applications web.

Les entreprises testées en 2019 comprenaient les secteurs de la finance (32 %), de l’informatique (21 %), des carburants et de l’énergie (21 %), des agences gouvernementales (11 %), de l’hôtellerie et des divertissements (7 %), de l’industrie (4 %) et des télécommunications (4 %). Dans les tests d’intrusion externes de Positive Technologies, les experts ont pu accéder au réseau local dans 93 % des organisations testées. Le nombre maximum de vecteurs de pénétration détectés dans une seule entreprise était de 13. Pour une entreprise testée sur six, Positive Technologies a trouvé des traces d’attaques précédentes, telles que des web shells sur le périmètre du réseau, des liens malveillants sur des sites officiels ou des références valides dans des décharges de données publiques. Cela indique que l’infrastructure pourrait avoir déjà été infiltrée par des pirates informatiques.

Les experts ont également constaté que la pénétration d’un réseau local prend entre 30 minutes et 10 jours. Dans la plupart des cas, la complexité de l’attaque était faible, ce qui signifie que l’attaque était à la portée d’un hacker ayant des compétences de base. Dans 71 % des entreprises, il y avait au moins un vecteur de pénétration facile.

Dans 68 % des entreprises, les attaques réussies sur les applications web impliquaient de forcer brutalement les attaques à craquer les données d’identification. Si les pirates forcent le mot de passe d’au moins un compte de domaine, ils peuvent découvrir les identifiants des autres utilisateurs en téléchargeant le carnet d’adresses hors ligne, qui répertorie toutes les adresses électroniques des employés de l’entreprise. Dans l’une des organisations testées, les tests d’intrusion de Positive Technologies ont obtenu plus de 9 000 adresses électroniques en utilisant cette méthode.

« Les applications web sont le composant le plus vulnérable du périmètre du réseau », déclare Ekaterina Kilyusheva, responsable de la recherche et de l’analyse chez Positive Technologies. « Dans 77 % des cas, les vecteurs de pénétration impliquent une protection insuffisante des applications web. Pour assurer cette protection, les entreprises doivent procéder régulièrement à des évaluations de la sécurité des applications web. Les tests de pénétration sont effectués comme une analyse de “boîte noire” sans accès au code source, ce qui signifie que les entreprises peuvent laisser des points aveugles sur certains problèmes qui pourraient ne pas être détectés en utilisant cette méthode. C’est pourquoi les entreprises doivent utiliser une méthode de test plus approfondie comme analyse du code source (boîte blanche). Pour une sécurité proactive, nous recommandons l’utilisation d’un pare-feu d’application web pour empêcher l’exploitation de vulnérabilités, même celles qui n’ont pas encore été détectées », ajoute-t-elle.

Les tests reposaient largement sur l’exploitation de vulnérabilités logicielles connues, par exemple dans les anciennes versions de Laravel et de Oracle WebLogic Server, qui permettaient à 39 % des entreprises d’accéder au réseau local. En outre, les tests d’intrusion ont découvert six vulnérabilités de type “zero-day Remote Code Execution”, dont CVE-2019-19781 dans Citrix Application Delivery Controller et Citrix Gateway.

Positive Technologies recommande d’installer les mises à jour de sécurité du système d’exploitation et les dernières versions des logiciels en temps utile et de s’assurer que les logiciels contenant des vulnérabilités connues n’apparaissent pas sur le périmètre du réseau.

Source : Positive Technologies

En savoir plus …