Cybersécurité

Comprendre les vulnérabilités avec MITRE

L'Équipe Alphorm Par L'Équipe Alphorm

Les vulnérabilités de sécurité représentent un risque majeur pour les systèmes informatiques.

Sans une identification et une évaluation rigoureuses, ces failles peuvent être exploitées par des cybercriminels, compromettant la sécurité des données et des infrastructures.

Cet article explore les standards MITRE comme le CVE et le CVSS, qui fournissent des moyens efficaces pour identifier et évaluer les vulnérabilités afin de renforcer la sécurité.

Table de matière
MITRE : Acteur des vulnérabilitésStandards MITRE : CVE et sécuritéCVE et CVSS : Objectifs clésCVSS : Métriques essentiellesResponsible Disclosure et sécuritéFull Disclosure et failles NISTFAQConclusion

Formation Techniques de Blue Teaming (1/2) : L'essentiel pour l'Analyste SOC

Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.

Découvrir cette formation

MITRE : Acteur des vulnérabilités

La MITRE Corporation , fondée en 2013, est une organisation à but non lucratif américaine financée par le gouvernement fédéral, qui se concentre principalement sur une collaboration avec des organismes gouvernementaux en recherche et développement (R&D), le Département de la Défense (DoD), ainsi que des institutions industrielles et universitaires.

Référence : Site officiel du mitre https://www.mitre.org/

Standards MITRE : CVE et sécurité

CVE (Common Vulnerabilities and Exposures)

Un standard qui permet de ranger des vulnérabilités avec une description, agissant comme un annuaire ou un dictionnaire simplifié.

Son format est CVE-AAAA-NNNN, où AAAA représente l’année de publication du CVE et NNNN est le numéro d’identification unique pour cette vulnérabilité spécifique

Logo CVE des vulnérabilités MITRE

CVSS: Common Vulnerability Scoring System

Un système de scoring créé par le FIRST (Forum of Incident Response and Security Teams)

CVE et CVSS : Objectifs clés

  • Calculer
  • Comparer
  • Comprendre la gravité des failles de sécurité

CVSS : Métriques essentielles

  • Score de base
  • Temporel
  • Environnemental
Comparaison visuelle CVSS v2 et v3

Pour entrer dans le monde des CVE (Common Vulnerabilities and Exposures) , la première chose à connaître est le site officiel. On peut effectuer des recherches très simplement en utilisant la base de données avec un mot-clé.

Page d'accueil du site CVE avec annonces importantes

Par exemple, si je cherche des informations sur les vulnérabilités liées aux ordinateurs ThinkPad , je saisis ce mot-clé et je peux alors voir tous les CVE différents ainsi que leur description

Page montrant des résultats CVE pour ThinkPad

En cliquant sur un CVE , on peut accéder à son identifiant , aux différentes descriptions et connaître les références sur le site de l’instructeur, la date de création , etc. C’est là une première approche sur laquelle nous pouvons nous baser.

Entrée CVE-2023-5078 sur vulnérabilité BIOS.

Le nouveau site est cve.org où l’on peut télécharger l’ensemble des différents CVE disponibles. Cette toute dernière version offre toutes les fonctionnalités nécessaires.

De plus, je peux effectuer une recherche sur la base d’un mot-clé. Si je suis un éditeur, je peux également mettre à jour un enregistrement ou demander un ID de CVE .

Cependant, il est important de noter que la procédure pour obtenir un numéro de CVE peut prendre un certain temps.

Page d'accueil du site CVE listant vulnérabilités

Je peux également effectuer une recherche très spécifique d’un CVE particulier. Par exemple, je pourrais choisir une CVE bien connue qui a affecté le service ou le spouleur de Microsoft, comme la CVE 2021-34527 . En cliquant sur  » Rechercher « , je pourrais immédiatement accéder à l’enregistrement de cette CVE .

Capture CVE-2021-34527 sur le site MITRE.

Si je souhaite obtenir davantage de statistiques, je peux consulter le site CVE Details , qui nous permet d’effectuer des recherches plus détaillées sur la base CVE.

Nous pouvons rechercher par produit , par éditeur , par type de vulnérabilité , et récupérer des statistiques relatives aux différentes vulnérabilités.

Un petit tableau peut également rassembler les différentes vulnérabilités présentes dans la base CVE , avec leur score CVSS et leur pourcentage .

Tableau des vulnérabilités et scores sur CVEdetails

En outre, nous pouvons effectuer des recherches par éditeur. En cliquant sur l’icône  » CVE Details « , nous pouvons voir en tête de liste des éditeurs tels que A M Kuchling et A Mennucc1.

En cliquant sur l’éditeur , nous pouvons consulter un bref historique des vulnérabilités ainsi que les types de vulnérabilités trouvées au fil des années, classées par type et par nom. La figure suivante illustre ce processus.

Tableau des vendeurs et vulnérabilités CVE

Je peux choisir aussi une année spécifique et trouver toutes les informations sur les vulnérabilités.

Tableau des vulnérabilités par année et mois sur CVE Details

Par exemple je vien de choisir janvier 2024 Et là, je trouve toutes les vulnérabilités, les CVE, ainsi que leurs descriptions, dates de mise à jour et de publication, les scores CVE, ainsi que d’autres paramètres spécifiques à l’exploitation des vulnérabilités, sans oublier le score CVSS.

Aperçu des vulnérabilités CVE publiées en 2024

Jusqu’à maintenant, nous avons récupéré des CVE , ce qui signifie que nous avons obtenu des vulnérabilités ainsi que leurs scores , leurs descriptions , et ainsi de suite, mais pas encore leurs exploits .

Pour cela, nous pouvons consulter des bases de données publiques telles qu’Exploit Database , par exemple, pour récupérer à la fois la vulnérabilité et l’exploit, ce qui nous permettra de vérifier si elle est exploitable.

Il est important de noter qu’une vulnérabilité présente ne signifie pas nécessairement qu’elle est exploitable, car une version vulnérable ne garantit pas toujours l’exploitabilité.

Liste de vulnérabilités sur Exploit Database

Je peux prendre par exemple une vulnérabilité quelconque La vulnérabilité  » ManageEngine ADManager Plus Build < 7183 – Recovery Password Disclosure  » permet la divulgation du mot de passe de récupération. On a son identifiant sur la base de données, le code CVE et l’exploit dans la base de données nous permet aussi de vérifier si la vulnérabilité a été confirmée par ces derniers ou non. Dans ce cas, l’auteur, le type, je peux télécharger l’exploit ou le visualiser directement dans mon navigateur. On a également la plateforme, la date de publication, et si disponible, l’application vulnérable pour tester la vulnérabilité.

Interface Exploit Database pour ADManager

Si je descends un peu plus bas, j’ai l’exploit qui permet d’exploiter la vulnérabilité. Bien sûr, cela dépend du type d’application, de la solution, du développeur, de l’époque ou de l’exploit (entre parenthèses, cela peut être en PHP, en C, en Python, ou ainsi de suite). Exploit DB est une référence en matière de référencement de différents exploits. On peut y effectuer des recherches par type, plateforme, port, auteur de la vulnérabilité, etc.

Exemple de code Python sur vulnérabilités MITRE.

Vous avez aussi d’autres plateformes telles que Sploitus , qui est en fait une sorte de moteur de recherche similaire à Google , mais pour les vulnérabilités CVE . Au lieu d’effectuer une recherche sur une seule plateforme, par exemple Exploit Database , Sploitus nous permet de réaliser une recherche sur plusieurs plateformes en même temps.

Page d'accueil de Sploitus avec liste d'exploits

Je peux effectuer une recherche, par exemple, sur le spooler de Windows , qui est un service d’impression très vulnérable. Il suffit de taper  » spooler « , d’appuyer sur Entrée , et il recherche simplement toutes les références à ce spooler avec les CVE associées. Ensuite, je peux choisir de cliquer directement sur l’exploit pour l’afficher.

Si je regarde en dessous, j’ai mon exploit. Je peux ouvrir la page et voir la source, et avoir tous les détails, comme on peut le voir ci-dessous. À gauche, on a la source des différents exploits, on peut trouver le  » M  » pour Metasploi t, qui est un framework d’exploitation automatisé de vulnérabilités, et encore plus d’autres détails.

Interface Sploitius de vulnérabilité Spooler

0day.Today est une plateforme également très intéressante où l’on peut trouver des exploits qu’on ne trouve pas partout, ce qui est la première chose à souligner.

La deuxième chose à noter est que certaines vulnérabilités sont entièrement divulguées ( » full disclosure « ) et ne suivent pas le circuit habituel. Parfois, même les éditeurs ne sont pas nécessairement au courant de leur existence s’ils n’ont pas été correctement surveillés. C’est pourquoi il est important de suivre ce type de plateforme, bien que parfois un peu  » sauvage  » (entre parenthèses), on y trouve vraiment des informations extrêmement intéressantes.

Site d'achat de vulnérabilités zéro-day

Notamment, nous avons une zone privée. En cliquant sur  » private « , nous retrouvons des zero day qui ne sont pas encore publiés publiquement, cela dépend de la plateforme concernée.

Bien sûr, le paiement se fait par Bitcoin , avec l’équivalent en dollars. Ci-dessus, nous avons tous les exploits que nous recherchons, cela dépend de l’utilisation, de la vulnérabilité et de la cible.

Site vendant des exploits 0day, paiement en crypto

Pour avoir une idée des transactions payantes qui se déroulent dans la partie  » zeroday « , je vous invite à jeter un coup d’œil sur une plateforme qui achète des zero day pour les utiliser ou les revendre à d’autres entités.

Zerodium page d'accueil montrant des primes

Si je clique sur « bounties », vous avez une idée du montant de la prime qui peut monter très rapidement pour une vulnérabilité sur Windows permettant une exécution de code à distance sans aucune interaction de l’utilisateur, allant jusqu’à un million de dollars.

Tableau des primes Zerodium pour vulnérabilités.

Il existe aussi d’autres forums sur lesquels vous pouvez effectuer votre veille sur les vulnérabilités , les exploitations et même les zero day , notamment la plateforme Exploite.in .

Capture d'écran du blog sur un hack financier

En ce moment, vous pouvez également vous baser sur XSS.is ou encore d’autres plateformes similaires. Vous pouvez suivre les comptes les plus connus et les plus intéressants des chercheurs qui contribuent beaucoup à la communauté. Vous pouvez les retrouver sur les réseaux sociaux ou bien sur les ressources telles que les meilleurs liens à suivre.

Page de connexion avec hCaptcha activé

L’organisme du NIST nous permet de réaliser un petit calcul rapide du score CVSS selon les versions. Vous pouvez trouver plus de détails sur le site du NIST . En fait, il fournit une petite calculatrice très intéressante. Comme nous l’avons mentionné précédemment, le score est basé sur des métriques temporelles, ainsi qu’une méthode environnementale.

Page web du calculateur CVSS du NIST

Une fois que vous avez rempli toutes les informations spécifiques à chaque paramètre, notamment les vecteurs d’attaque tels que le réseau, la complexité de l’exploitation de la vulnérabilité, les privilèges requis, l’interaction de l’utilisateur (s’il y en a besoin ou pas), le champ d’application , l’impact sur la confidentialité , l’intégrité et la disponibilité , sans oublier les métriques temporelles . Cela inclut la maturité de l’exploit, c’est-à-dire s’il existe déjà des exploits ou simplement des preuves de concept, ainsi que le niveau de remédiation.

Tableau des métriques CVSS pour analyse MITRE

La méthode environnementale prend en compte des facteurs supplémentaires pour évaluer l’exploitation de la vulnérabilité. Ici, l’utilisateur peut renseigner des paramètres tels que la complexité de l’attaque , les privilèges requis , l’interaction de l’utilisateur , le champ d’application , le vecteur d’attaque , l’impact et les modificateurs du score.

Tableau des métriques CVSS pour les vulnérabilités

Une fois que tous ces paramètres sont remplis, le score CVSS est calculé et affiché.

Graphiques du calculateur de score CVSS

Il est également possible d’examiner l’ équation utilisée pour ce calcul, offrant ainsi une transparence et une compréhension approfondie du processus d’évaluation de la gravité des vulnérabilités

Équations CVSS v3.1 pour le score de base
  • Les standardes CWE et CWSS
    • Weakness Enumeration (CWE-XXXX)
  • Weakness Enumeration (CWE-XXXX)

Liste d’informations contenant les failles et faiblesses dans la conception et l’architecture d’une application

  • Common Weakness Scoring system

Fournit un mécanisme permettant de hiérarchiser les faiblesses logicielles de manière cohérente, flexible et ouverte

Diagramme des facteurs CWSS pour évaluer les vulnérabilités.

Nous pouvons trouver sur le site CWE , qui est maintenu par le NIST , une liste exhaustive des vulnérabilités et des erreurs fréquemment rencontrées par les développeurs lors de la conception et du développement de logiciels. Cette ressource offre une clarté tant au niveau conceptuel que physique, en fournissant une description détaillée des différents types d’erreurs et leur relation avec d’autres problèmes et vulnérabilités dans le code.

Capture d'écran de la page CWE KEV
Liste des parcours CWE et mappages externes pour sécurité.

En consultant le CWE , nous avons accès aux Top 25 des vulnérabilités ou des faiblesses les plus courantes dans le développement de logiciels. Ces catégories d’erreurs incluent une variété de types d’erreurs que les développeurs peuvent rencontrer lors de la création de leur code.

Liste des faiblesses logicielles du MITRE CWE 2023.

La plateforme fournit également des descriptions détaillées des termes , des alternatives , et des relations avec d’autres problèmes et vulnérabilités au niveau du code, offrant ainsi une ressource précieuse pour améliorer la sécurité des applications logicielles

Description et relations CWE-787 vulnérabilité

Responsible Disclosure et sécurité

Diagramme du cycle de gestion des vulnérabilités

Full Disclosure et failles NIST

Cycle de gestion des vulnérabilités MITRE

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Qu'est-ce que la MITRE Corporation et son rôle?
La MITRE Corporation est une organisation à but non lucratif fondée en 2013, financée par le gouvernement fédéral américain. Elle collabore principalement avec des organismes gouvernementaux, le Département de la Défense, ainsi que des institutions industrielles et universitaires. MITRE se concentre sur la recherche et le développement (R&D) pour améliorer la sécurité informatique en développant des standards comme le CVE et le CVSS, permettant de classer et d’évaluer les vulnérabilités de sécurité.
Le CVE (Common Vulnerabilities and Exposures) est un standard qui classe les vulnérabilités sous une forme simplifiée d’annuaire. Chaque vulnérabilité est identifiée par un format CVE-AAAA-NNNN, où AAAA représente l’année de publication et NNNN le numéro d’identification unique. Ce système facilite la recherche et l’accès aux informations détaillées sur les vulnérabilités à travers des bases de données publiques, permettant ainsi aux professionnels de la sécurité de suivre les menaces potentielles.
Le Common Vulnerability Scoring System (CVSS) a pour objectifs de calculer, comparer et comprendre la gravité des failles de sécurité. Il utilise trois métriques principales : le score de base, temporel et environnemental. Chaque métrique évalue différents aspects de la vulnérabilité, comme la facilité d’exploitation, l’impact potentiel et l’environnement dans lequel elle se manifeste, offrant ainsi une évaluation complète et cohérente des risques associés aux vulnérabilités.
Les bases de données publiques comme Exploit Database ou Sploitus sont essentielles pour rechercher et vérifier les informations sur les vulnérabilités. En utilisant ces ressources, on peut accéder aux descriptions détaillées des vulnérabilités, aux codes CVE associés, et aux exploits potentiels. Ces plateformes permettent aux professionnels de la sécurité de suivre l’évolution des vulnérabilités existantes et d’identifier de nouvelles menaces, aidant ainsi à renforcer la sécurité informatique.
Le Responsible Disclosure est une pratique où les découvreurs de vulnérabilités signalent ces failles aux éditeurs concernés de manière confidentielle avant de les rendre publiques. Cela permet aux entreprises de corriger les vulnérabilités avant qu’elles ne soient exploitées par des cybercriminels. Cette pratique encourage la collaboration entre chercheurs en sécurité et éditeurs pour améliorer la sécurité des logiciels tout en protégeant les utilisateurs finaux des risques potentiels.

Conclusion

En comprenant mieux les vulnérabilités et les outils développés par la MITRE, comment envisagez-vous d’améliorer la sécurité de vos systèmes?

ÉTIQUETÉ : SOC (Security Operations Center)
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire