Top 10 des vulnérabilités les plus marquantes de 2020

Préambule

L’ANSSI propose dans ce document une analyse des vulnérabilités les plus critiques qu’elle a traitées au cours de l’année 2020. Cette démarche s’inscrit dans ses missions de sécurité et de défense des systèmes d’information et en particulier de veille et d’information sur les vulnérabilités.

Malgré, une adoption progressive des techniques et bonnes pratiques de développement sécurisé, il est impossible de garantir qu’un produit soit totalement exempt de vulnérabilités. La découverte de vulnérabilité fait partie intégrante du cycle de vie d’un produit, il est donc essentiel d’appliquer les correctifs proposés par les éditeurs de solution. En effet, les vulnérabilités non corrigées sont exploitées par des attaquants afin de réaliser des actions malveillantes et compromettre des équipements.

Au-delà des vulnérabilités qui sont listées dans ce document, l’Agence rappelle qu’il est vital pour le maintien en condition de sécurité des systèmes d’informations d’assurer une veille constante des vulnérabilités découvertes et publiées quotidiennement sur Internet. Les grandes majorités des éditeurs de solution proposent des avis de sécurité afin de prévenir des nouvelles vulnérabilités affectants leurs produits. Par ailleurs, par le biais du CERT-FR, l’Agence propose aussi un service de veille quotidienne sur les produits qu’elle juge critiques.

En synthèse

L’année 2020 fut marquée par la multiplication des infrastructures d’accès à distance au système d’information des entreprises et des administrations, afin de trouver une réponse à la situation sanitaire. Malgré les publications de plusieurs avis de sécurité en 2019 concernant différents éditeurs de solutions VPN, l’ANSSI a pu constater la présence d’un grand nombre d’équipements vulnérables exposés directement sur internet. En dépit des campagnes de signalement réalisées pour inviter les organisations à appliquer les correctifs et respecter les bonnes pratiques, l’ANSSI a pu observer que ces équipements ont, pour certains d’entre eux, été utilisés pour compromettre les réseaux des entités.

Pour en savoir plus sur les bonnes pratiques en matière d’accès distant :

Par ailleurs, il est encore fréquent d’observer la présence d’interfaces d’administration accessibles sur Internet et faiblement sécurisées. Dans certains cas, le fait que ces interfaces soient directement exposées sur Internet n’est pas connu de l’organisation car celles-ci sont parfois configurées par défaut et qu’aucun contrôle de sécurité (scan, audit) n’est réalisé pour les détecter. Dans d’autre cas, les besoins d’administration à distance n’ont pas été couverts par une infrastructure sécurisée adaptée permettant de limiter l’exposition aux équipements.

Pour en savoir plus sur les bonnes pratiques en matière d’administration des systèmes d’information :

Enfin, l’année 2020 aura été marquée par la découverte de différentes failles dans certains services et protocoles qui constituent la base des environnements Microsoft et qui permettent aux attaquants de prendre le contrôle du domaine Active Directory d’autant plus rapidement que les bonnes pratiques de sécurisation ne seraient pas correctement appliquées.

Pour en savoir plus sur les bonnes pratiques en matière de gestion des environnements Microsoft :

Les vulnérabilités les plus marquantes de 2020

L’une des méthodes les plus communes pour l’accès initial à un système d’information est l’identification d’une ou plusieurs vulnérabilités dans des équipements exposés sur Internet.

Les vulnérabilités présentées dans ce document ont été sélectionnées en fonction de leur criticité et des cas d’exploitations observés. Ont été privilégiées dans cette sélection, les vulnérabilités permettant une primo-intrusion sur le réseau informatique et celles ayant un impact critique sur la globalité du système informatique.

Elles reflètent ainsi de manière objective les tendances observées en 2020 par l’ANSSI au sein du périmètre des produits qu’elle suit dans le cadre de sa veille sur les vulnérabilités.

CVE-2019-11510

Le 24 avril 2019, l’éditeur Pulse Secure a émis un avis de sécurité pour plusieurs de ses produits dont son VPN SSL Pulse Connect Secure. Le CERT-FR a eu connaissance de cas d’exploitation de la vulnérabilité CVE-2019-11510 affectant les produits Pulse Secure.

Cette vulnérabilité avec un score de CVSSv3 de 10 (sur 10) permet à un attaquant de pouvoir lire des fichiers arbitraires à distance via le protocole HTTPS en créant une URI particulière. Elle est notamment exploitée de façon régulière par les attaquants pour voler les informations d’authentification des utilisateurs du service VPN pour usurper leur identité et se connecter indûment au système d’information.

Référence :

CVE-2019-19781

La CVE-2019-19781, d’un score CVSSv3 de 9.8 (sur 10), affecte les logiciels Citrix ADC et Citrix Gateway. Ces solutions proposent un grand nombre de fonctionnalités dont un service de VPN SSL. Cette vulnérabilité permet à un attaquant de réaliser une exécution de code arbitraire à distance.

Suivie de près par le CERT-FR car sans correctif au moment de la publication et facile à exploiter, cette vulnérabilité a fait l’objet de campagnes de détection massives sur internet. Des codes d’exploitations ont été publiés très rapidement, avec comme finalité de permettre à l’attaquant de prendre le contrôle de l’équipement, ce qui a rendu cette vulnérabilité particulièrement critique.

Référence :

CVE-2018-13379

Le 24 mai 2019, l’éditeur Fortinet avait publié un avis de sécurité corrigeant la vulnérabilité CVE-2018-13379 qui affecte les systèmes FortiOS lorsque le service VPN SSL est activé. Cette vulnérabilité, d’un score CVSSv3 de 9.8 (sur 10), permet à des attaquants non authentifiés d’accéder aux fichiers systèmes via des requêtes HTTP spécialement conçues, leur donnant notamment accès à des informations sensibles tels que les identifiants et mots de passe des utilisateurs.

Le CERT-FR a notamment été averti en novembre 2020 de la diffusion sur Internet d’une liste d’équipements Fortinet vulnérables, des accès aux systèmes d’information de victimes obtenus grâce à cette vulnérabilité étaient également en vente sur des forums cybercriminels.

Référence :

 

CVE-2020-0688

La CVE-2020-0688 affecte le serveur de messagerie d’entreprise Exchange de Microsoft. Avec un score CVSSv3 de 8.8 (sur 10), elle permet une exécution de code arbitraire à distance par un utilisateur authentifié, et ainsi de pouvoir obtenir les droits de l’administrateur de domaine Active Directory. Bien que cette vulnérabilité requiert d’être authentifié en tant qu’utilisateur, il est assez facile pour un attaquant d’obtenir un accès à un compte valide sur des serveurs Exchange que soit par une attaque de brute force, par de l’ingénierie sociale ou encore en ayant accès à une base volée disponible sur l’internet sombre. Enfin, la publication de codes d’exploitation a fortement augmenté la vraisemblance que des entités utilisent cette vulnérabilité dans Microsoft Exchange pour compromettre l’annuaire de l’Active Directory.

Référence :

CVE-2020-11651 et CVE-2020-11652

Ces deux vulnérabilités affectent Saltstack qui est un logiciel de gestion de configuration en mode client-serveur utilisé pour la gestion des centres de données et des environnements de type ‘Cloud’. Ce produit est notamment intégré par d’autres éditeurs dans leurs propres solutions.

La première vulnérabilité (CVE-2020-11651), d’un score CVSS de 9.8 (sur 10), permet de contourner le mécanisme d’authentification et de faire exécuter du code arbitraire aux clients comme au serveur. La seconde (score CVSSv3 6.5), permet d’accéder en lecture et en écriture à tout fichier présent dans le système de fichier d’un équipement sur lequel Salt est installé. La combinaison de ces 2 vulnérabilités permet donc à un attaquant de compromettre totalement l’ensemble des ressources gérées par Saltstack. Des codes d’exploitation étant publiquement disponibles, certains attaquants ont ainsi pu facilement déployer des logiciels de minage de cryptomonnaie pour utiliser frauduleusement la puissance de calcul de sociétés vulnérables.

Référence :

CVE-2020-1350

Cette vulnérabilité, dont le score CVSSv3 est de 10, a été découverte dans le service Microsoft Domain Name System (DNS) Server. Cette vulnérabilité se situe dans le code qui analyse les réponses à des requêtes DNS. Elle peut être exploitée par un attaquant qui aurait le contrôle d’un serveur DNS ayant autorité sur un nom de domaine Internet. En construisant une réponse, dans un format particulier, à une requête légitime émise par un serveur Microsoft DNS Server, l’attaquant peut provoquer un dépassement de tampon (buffer overflow) au niveau du service Microsoft DNS Server.

L’extrême gravité de cette vulnérabilité est liée au fait que son exploitation peut résulter en une exécution de code arbitraire avec les privilèges SYSTEM. Enfin, étant donné que le service Microsoft DNS Server est généralement activé sur les contrôleurs de domaines Active Directory, l’attaquant est alors capable de compromettre les contrôleurs de domaines Active Directory du système d’information.

Référence :

CVE-2020-1472 – Netlogon

Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d’une vulnérabilité affectant le protocole Netlogon Remote Protocole. Cette vulnérabilité, jugée critique (score CVSS3 de 10 sur 10), concerne les différentes versions de Microsoft Windows Server où le rôle ADDS (Active Directory Domain Services) est installé et où le serveur joue le rôle de contrôleur de domaine. Cette vulnérabilité peut aisément être exploitée par un acteur mal intentionné ayant un accès aux ports TCP ouverts par le service Netlogon. L’exploitation de cette vulnérabilité entraîne une élévation de privilèges sur les contrôleurs de domaine, ce qui permet ensuite l’accès à l’ensemble des ressources gérées par les domaines Active Directory.

Des codes d’exploitation ont été publiés sur Internet assez rapidement après publication de l’avis de sécurité, imposant une prise en compte urgente par les administrateurs de systèmes d’information. La correction de cette vulnérabilité a entraîné une forte charge de travail car elle aura requis la mise à jour de certains équipements incompatibles avec les fonctionnalités de sécurité de Netlogon. Ces actions requises auront laissés ces systèmes d’informations partiellement exposés à la vulnérabilité pendant une longue période.

Référence :

CVE-2020-1472 – Samba AD

La vulnérabilité CVE-2020-1472, pour laquelle Microsoft a publié un premier correctif le 11 août est une vulnérabilité du protocole Netlogon. L’éditeur du logiciel Samba a donc également notifié ses utilisateurs qu’un serveur Samba configuré en tant que contrôleur de domaine était également vulnérable.

Bien que la correction de la vulnérabilité fût plus simple sur Samba, les administrateurs de systèmes d’information auront été confrontés aux mêmes problématiques d’incompatibilité de certains équipements, laissant le système d’information partiellement exposé à la vulnérabilité pendant une longue période.

Référence :

CVE-2020-0796

Le 10 mars 2020, l’éditeur a publié un avis concernant une vulnérabilité affectant son implémentation du protocole SMB en version 3.1.1. Cette vulnérabilité, dont le score CVSSv3 est de 10, permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification. La fonction vulnérable est utilisée à la fois par le client et le serveur qui partage des ressources (fichier, imprimante). Par conséquent, une personne malveillante pourrait exploiter cette vulnérabilité pour compromettre un serveur de ressources SMB, puis, par rebond, toutes les machines qui se connecteraient à ce serveur : la compromission en chaîne de machines vulnérables est donc possible.

Malheureusement, l’éditeur n’avait pas encore de correctif lorsque la vulnérabilité a été détaillée par des chercheurs, obligeant Microsoft à produire un premier correctif d’urgence dans les 2 jours qui suivirent afin de limiter les risques d’exploitation.

Référence :

Conclusion

En 2020, l’ANSSI, à travers le CERT-FR, a publié 846 avis et 26 alertes concernant des vulnérabilités dans les produits suivis par l’Agence. Par ailleurs, l’Agence aura également mené 26 campagnes de signalements – notamment concernant les 10 vulnérabilités précitées – vers les entités publiques et privées identifiées comme exposant certains services ou équipements vulnérables. Pour autant, de nombreux incidents survenus en 2020 sont liés à l’exploitation de l’une de ces vulnérabilités. L’Agence constate également, à l’aide des vérifications effectuées en fin d’année 2020, qu’il reste encore un grand nombre d’équipements vulnérables exposés sur Internet, notamment aux vulnérabilités critiques évoquées dans le présent document.

La gestion des vulnérabilités doit faire partie intégrante des prestations techniques pour le maintien en condition de sécurité des systèmes d’information, car il n’existera jamais de logiciel invulnérable.

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version. C’est pourquoi l’ANSSI recommande d’intégrer le déploiement des correctifs de sécurité dans les processus de production (gestion des configurations, gestion des changements, gestion des incidents, etc.) afin d’en systématiser l’application selon une politique clairement établie par les parties prenantes (responsable de production et responsable de la sécurité).

 

Pour aller plus loin : https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

Pour accéder aux publications du CERT-FR :

Rappel des avis émis

Dans la période du 08 au 14 février 2021, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :