Discussion :

[Bruno]

Cinq fournisseurs seulement concernés par environ un quart des vulnérabilités au premier semestre 2019,
selon un nouveau rapport de Risk Based Security

Comprendre les faiblesses et les vulnérabilités d’un système ou d’un réseau est un grand pas vers la correction de ces vulnérabilités ou la mise en place des contre-mesures appropriées pour atténuer les menaces contre elles. Certaines entreprises ont créé des bases de données qui classent les menaces dans le domaine public.

Le Common Vulnerabilities and Exposures (CVE) ou Vulnérabilités et expositions communes est un dictionnaire des vulnérabilités et expositions de sécurité connues du public. Il est maintenu par l’organisme MITRE et soutenu par le département de la sécurité intérieure des États-Unis. MITRE quant à elle, est une organisation à but non lucratif américaine dont l’objectif est de travailler pour l’intérêt public. Ses domaines d’intervention sont l’ingénierie des systèmes, la technologie de l’information, les concepts opérationnels, et la modernisation des entreprises.

Selon un nouveau rapport de Risk Based Security, 54 % des vulnérabilités de 2019 sont liées au Web, 34 % ont des exploits publics, 53 % peuvent être exploitées à distance et 34 % des vulnérabilités de 2019 n’ont pas encore de solutions documentées.

« 34 % des vulnérabilités n’ont pas de solution, ce qui s’explique peut-être par le fait que les fournisseurs ne font pas de correctifs. Cela peut se produire lorsque le chercheur n’a pas informé le fournisseur de sorte qu’il ne soit pas au courant de la vulnérabilité », déclare Brian Martin, vice-président d’intelligence de vulnérabilité chez Risk Based Security. « En outre, si une entreprise utilise l’analyse des vulnérabilités, elle peut tout simplement ne pas connaître tous ses actifs. Par exemple, si elle n’analyse pas l’intégralité de son espace IP ou utilise un scanner incapable d’identifier 100 % de ses actifs, les périphériques et les serveurs peuvent ne pas être corrigés ».

Le rapport révèle également qu’à ce jour, seuls cinq des principaux fournisseurs représentent 24,1 % des vulnérabilités révélées en mi-année 2019. Parmi les vulnérabilités non publiées par CVE/NVD, 28,2 % ont un score CVSSv2 compris entre 7,0 et 10. Parallèlement, 8,6 % des vulnérabilités ayant un identifiant CVE sont dans le statut RÉSERVÉ malgré une divulgation publique.

Une fois les vulnérabilités identifiées sur un système, l’organisation doit effectuer une analyse et attribuer une priorité en fonction de leur impact sur l’entreprise. L’analyse d’une vulnérabilité rapportée vise à confirmer que le système est vulnérable et à essayer de mieux comprendre les caractéristiques de la vulnérabilité. Le Common Vulnerability Scoring System (CVSS) est un standard de l’industrie utilisé pour transmettre des informations sur la gravité des vulnérabilités. Parmi les vulnérabilités non publiées par CVE/NVD, 28,2 % ont un score CVSSv2 compris entre 7,0 et 10. Parallèlement, 8,6 % des vulnérabilités ayant un identifiant CVE sont dans le statut RÉSERVÉ malgré une divulgation publique.

« Un sujet récurrent dans les rapports VulnDB est que CVE/NVD continue de ne pas couvrir suffisamment de vulnérabilités », ajoute Martin. « De nombreuses organisations, sociétés de numérisation, plates-formes de risque et fournisseurs de services de sécurité insistent sur le fait que l’intelligence des vulnérabilités de CVE/NVD est assez bonne ». Cependant, notre mentalité et notre approche vis-à-vis de l’agrégation des vulnérabilités sont complètement différentes. Il existe des milliers de vulnérabilités que nous couvrons avec des détails complets que MITRE n’a toujours pas ».

Bien que la phase de gestion des vulnérabilités la plus importante consiste à remédier à une vulnérabilité, on assiste bien souvent à des situations ou le constructeur passe du temps à vouloir faire du dilatoire plutôt que de se pencher sur le problème.

Source : Risk Based Security

Et vous ?

Faites-vous confiance à des organismes américains pour gérer des informations manipulées par le monde ? Ou préférez-vous les Chinois ou encore les Russes ?

Selon vous, qu’est-ce qui explique le fait que les fournisseurs ne font pas toujours de correctifs ?

Voir aussi :

Des vulnérabilités de corruption de mémoire dans systemd affectent la plupart des distributions Linux, aucun correctif n’est disponible pour le moment

[defZero]

Article alarmant mais, je pense, très juste sur la situation.

Mais quand on voit que les sociétés les plus riches dans le domaine informatique sont également celles qui traite le plus la sécurité par dessus la jambe, j'ai peut d’espoirs de voire une quelconque amélioration.

Prenons pour exemple :
- Intel, AMD, ARM: Meltown/Spectre et autres dérivés, patchés au niveau software, mais ils continu de vendre des processeurs vulnérables tranquillement.
- Microsoft: Compte continuellement sur Windows Update pour corriger sa passoire, sans réelle amélioration globale de la sécurité.
Je veut dire qu'un OS qui a ~30 ans de développement professionnel et continu derrière lui devrait être blindé à l'heure qu'il est.
- Google/Android & Fabricants: Bootloader bloqué, Root interdit, mais Firmware véroler en sortie d'usine et donc sans possibilité d'amélioration, par une manipulation utilisateur.
- Intel/IME, AMD/PSP: Grosse passoire de sécurité mais aucune possibilités de désactivation et ils continue de le vendre comme un avantage .

Bref, quand quelqu'un vient me parler du RGPD ou de Sécurité du SI, j'esquisse un sourire et lui dit que c'est pas mon problème n'étant ni juriste, ni politicien.