Les appliances virtuelles, même si elles sont fournies par les principaux éditeurs de logiciels ou de cybersécurité, peuvent présenter un risque sérieux pour les organisations, selon un rapport publié mardi par la société de visibilité cloud Orca Security.

Les appliances virtuelles peuvent être très utiles aux entreprises car elles éliminent le besoin de matériel dédié, elles sont souvent peu coûteuses ou gratuites, elles sont faciles à configurer et à entretenir et elles peuvent être facilement déployées sur des plates-formes cloud. De nombreuses appliances virtuelles peuvent être utilisées telles qu’elles sont fournies.

Orca Security a utilisé sa technologie SideScanning pour rechercher les vulnérabilités et les systèmes d’exploitation obsolètes des appliances virtuelles. La société a analysé un total de plus de 2 200 appliances virtuelles de 540 fournisseurs en avril et mai et a identifié plus de 400 000 vulnérabilités.

Les appliances virtuelles ont été obtenues auprès de marchés associés à des plates-formes cloud telles que AWS, VMware, Google Cloud Platform et Microsoft Azure, mais Orca affirme que ces appliances virtuelles sont dans de nombreux cas les mêmes que celles fournies directement par les fournisseurs.

L’analyse d’Orca, qui consistait à attribuer à chaque appliance un score de risque de sécurité compris entre 0 et 100, a révélé que les appliances de 8% des fournisseurs n’avaient aucun problème. Ces fournisseurs, qui ont obtenu une note A +, comprennent Trend Micro, Pulse Secure, BeyondTrust et Versasec.

Près d’un quart des fournisseurs testés avaient des appliances virtuelles qui ont obtenu une note A et 12% ont obtenu un B. Cependant, 15% des appliances testées ont obtenu un F, y compris celles de CA Technologies, Software AG, Intel, Zoho, Symantec, A10 Réseaux, Cloudflare et Micro Focus.

Cependant, Orca a noté que certains fournisseurs avaient certains de leurs appareils classés A ou A + et d’autres appareils classés F. Cela inclut Intel, Symantec, Soho, Cognosys et Tibco.

Orca a contacté chacun des fournisseurs concernés avant de rendre ses conclusions publiques. La société affirme que les fournisseurs ont abordé environ 36000 des 400000 identifiés …

Voir la source de cette publication