Le rapport de télémétrie montre l’état des correctifs des vulnérabilités de haut niveau

Un nombre record de nouvelles failles de sécurité (18 352) ont été signalés en 2020. Cette année, le nombre est susceptible d’être plus élevé (13 002 au 1er septembre). Le problème avec une vulnérabilité zero-day est qu’elle reste un zero-day jusqu’à ce qu’elle soit corrigée par le fournisseur et l’utilisateur.

Vingt pour cent des nouvelles vulnérabilités de cette année ont reçu une note de « gravité élevée » par NVD. Compte tenu de la vitesse à laquelle les acteurs malveillants peuvent commencer à exploiter ces vulnérabilités, les chercheurs de Trustwave ont décidé d’enquêter et de faire rapport (PDF) sur la rapidité avec laquelle l’industrie les corrige.

Les chercheurs ont sélectionné une gamme de vulnérabilités très médiatisées et ont utilisé Shodan pour détecter les instances des vulnérabilités encore existantes sur Internet. Ils ont effectué des recherches le 22 juillet, le 16 août et le 31 août pour détecter la progression du patch.

Sept divulgations de vulnérabilités ont été sélectionnées pour l’analyse : MS Exchange Server (ProxyShell et ProxyToken) ; Apache Tomcat (contrebande de requêtes HTTP et injection de commandes NAS QNAP) ; VMware vCenter (vulnérabilités multiples) ; Pulse Connect (dérivation d’authentification) ; F5 BIG-IP (vulnérabilité RCE) ; Serveur MS Exchange (ProxyLogon) ; et Oracle WebLogic Server (RCE).

Les résultats ne sont pas encourageants. Par exemple, les vulnérabilités ProxyShell et ProxyToken ont été corrigées par Microsoft en avril et mai, et divulguées en juillet. « Au 31 août 2021 », déclarent les chercheurs, « l’analyse des facettes sur les rapports de Shodan ~ 45 000 instances vérifiées étaient vulnérables à ProxyShell. » C’est-à-dire que 21,17% des serveurs MS Exchange n’ont pas été corrigés.

Le modèle est similaire pour les autres vulnérabilités analysées. Plus de la moitié de toutes les vulnérabilités d’Apache Tomcat n’avaient toujours pas été corrigées au 31 août 2021 ; et plus de 20 % des instances Pulse Connect n’ont pas été corrigées. Les vulnérabilités F5 et MS ProxyLogon sont toutes deux réduites à environ 5% des instances, mais n’ont toutes deux diminué que d’environ 2% depuis le 22 juillet…