Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Le 24 juillet dernier, une dépêche Reuters faisait part d’une attaque visant des organismes gouvernementaux en Norvège. Cela aurait pu être une nouvelle comme une autre au vu des tensions existantes actuellement lié au conflit en Europe de l’Est. Cependant, l’ampleur de l’évènement, qui a touché 12 ministères Norvégiens, est beaucoup moins anodine.
Les investigations étant toujours en cours, peu d’informations ont filtré sur le vecteur d’intrusion initial. Néanmoins, quelques heures après l’attaque, la société Ivanti publiait une alerte de sécurité à destination exclusive de ses clients. Très rapidement, la nouvelle d’une vulnérabilité critique sur le produit Ivanti EPMM (anciennement MobileIron core) fût diffusée sur les réseaux sociaux.
Même si le lien n’est pas évident au premier abord, une relation existe entre ces deux évènements. En effet, quelques heures plus tard, il a été révélé que la compromission des ministères Norvégien s’était effectuée via l’exploitation de la vulnérabilité affectant le produit EPMM d’Ivanti. Le 24 juillet en fin de journée, l’avertissement de sécurité de la société Ivanti fut rendu public, et celui-ci permet de comprendre pourquoi il y eut si peu d’informations. La vulnérabilité est notée 10 d’après le système CVSSv3, sa qualification : “Remote Unauthenticated API Access Vulnerability”, et elle est activement exploitée.
Bien que le détail de la vulnérabilité soit toujours sous embargo, et contrairement au communiqué de la société Ivanti qui indique que l’impact de celle-ci est la divulgation d’informations personnelles et la possibilité d’effectuer des changement limités sur le serveur, l’alerte du CISA se veut beaucoup moins rassurante en indiquant que l’exploitation de cette vulnérabilité permet effectivement la divulgation d’informations personnelles, mais également la création de comptes avec privilèges d’administration sur la solution.
TOP
TOP
DÉFINITION DU MOIS
Le Common Vulnerability Scoring System (CVSS) , est un système standardisé utilisé pour évaluer la gravité des vulnérabilités informatiques. Développé en 2005 par le FIRST (Forum of Incident Response and Security Teams), son objectif est de fournir une méthodologie commune pour évaluer les vulnérabilités et faciliter la communication dans le domaine de la sécurité informatique.
Le CVSS attribue un score numérique de 0 à 10 à chaque vulnérabilité, où 10 représente le score maximal. Ce score est calculé en prenant en compte plusieurs critères tels que l’impact sur la confidentialité, l’intégrité et la disponibilité des données et systèmes affectés, la complexité d’exploitation et la portée de la vulnérabilité.
Les éditeurs, les équipes de réponse aux incidents et les professionnels de la sécurité informatique utilisent le CVSS pour évaluer les vulnérabilités et déterminer les mesures de sécurité à prendre. En priorisant les correctifs et les actions en fonction du score CVSS, les organisations peuvent ainsi mieux gérer les risques associés aux vulnérabilités.
Depuis sa création, le CVSS a connu des évolutions significatives, notamment avec la version 3 qui offre une méthodologie plus robuste et granulaire. Disponible depuis le 28 mai 2015, cette dernière a été conçue pour répondre aux limitations de la version précédente (CVSSv2) et pour s’adapter aux nouveaux défis de la cybersécurité. La CVSSv3 intègre des critères supplémentaires tels que la portée de la vulnérabilité et les métriques environnementales ce qui lui permet une évaluation plus précise de l’impact d’une vulnérabilité dans le contexte spécifique de chaque organisation.
Par ailleurs, l’industrie de la cybersécurité attend avec impatience l’arrivée de CVSSv4 qui proposera une révision majeure de son système de notation en tenant compte des commentaires et des expériences des utilisateurs au cours de cette dernière décennie. Sa date de sortie est prévue pour le 1er octobre 2023, et devrait offrir une approche encore plus complète pour évaluer et prioriser les vulnérabilités.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.