Les vulnérabilités de sécurité représentent un risque majeur pour les systèmes informatiques.
Sans une identification et une évaluation rigoureuses, ces failles peuvent être exploitées par des cybercriminels, compromettant la sécurité des données et des infrastructures.
Cet article explore les standards MITRE comme le CVE et le CVSS, qui fournissent des moyens efficaces pour identifier et évaluer les vulnérabilités afin de renforcer la sécurité.
Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.
MITRE : Acteur des vulnérabilités
La MITRE Corporation , fondée en 2013, est une organisation à but non lucratif américaine financée par le gouvernement fédéral, qui se concentre principalement sur une collaboration avec des organismes gouvernementaux en recherche et développement (R&D), le Département de la Défense (DoD), ainsi que des institutions industrielles et universitaires.
Standards MITRE : CVE et sécurité
CVE (Common Vulnerabilities and Exposures)
Un standard qui permet de ranger des vulnérabilités avec une description, agissant comme un annuaire ou un dictionnaire simplifié.
Son format est CVE-AAAA-NNNN, où AAAA représente l’année de publication du CVE et NNNN est le numéro d’identification unique pour cette vulnérabilité spécifique
CVSS: Common Vulnerability Scoring System
Un système de scoring créé par le FIRST (Forum of Incident Response and Security Teams)
CVE et CVSS : Objectifs clés
- Calculer
- Comparer
- Comprendre la gravité des failles de sécurité
CVSS : Métriques essentielles
- Score de base
- Temporel
- Environnemental
Pour entrer dans le monde des CVE (Common Vulnerabilities and Exposures) , la première chose à connaître est le site officiel. On peut effectuer des recherches très simplement en utilisant la base de données avec un mot-clé.
Par exemple, si je cherche des informations sur les vulnérabilités liées aux ordinateurs ThinkPad , je saisis ce mot-clé et je peux alors voir tous les CVE différents ainsi que leur description
En cliquant sur un CVE , on peut accéder à son identifiant , aux différentes descriptions et connaître les références sur le site de l’instructeur, la date de création , etc. C’est là une première approche sur laquelle nous pouvons nous baser.
Le nouveau site est cve.org où l’on peut télécharger l’ensemble des différents CVE disponibles. Cette toute dernière version offre toutes les fonctionnalités nécessaires.
De plus, je peux effectuer une recherche sur la base d’un mot-clé. Si je suis un éditeur, je peux également mettre à jour un enregistrement ou demander un ID de CVE .
Cependant, il est important de noter que la procédure pour obtenir un numéro de CVE peut prendre un certain temps.
Je peux également effectuer une recherche très spécifique d’un CVE particulier. Par exemple, je pourrais choisir une CVE bien connue qui a affecté le service ou le spouleur de Microsoft, comme la CVE 2021-34527 . En cliquant sur » Rechercher « , je pourrais immédiatement accéder à l’enregistrement de cette CVE .
Si je souhaite obtenir davantage de statistiques, je peux consulter le site CVE Details , qui nous permet d’effectuer des recherches plus détaillées sur la base CVE.
Nous pouvons rechercher par produit , par éditeur , par type de vulnérabilité , et récupérer des statistiques relatives aux différentes vulnérabilités.
Un petit tableau peut également rassembler les différentes vulnérabilités présentes dans la base CVE , avec leur score CVSS et leur pourcentage .
En outre, nous pouvons effectuer des recherches par éditeur. En cliquant sur l’icône » CVE Details « , nous pouvons voir en tête de liste des éditeurs tels que A M Kuchling et A Mennucc1.
En cliquant sur l’éditeur , nous pouvons consulter un bref historique des vulnérabilités ainsi que les types de vulnérabilités trouvées au fil des années, classées par type et par nom. La figure suivante illustre ce processus.
Je peux choisir aussi une année spécifique et trouver toutes les informations sur les vulnérabilités.
Par exemple je vien de choisir janvier 2024 Et là, je trouve toutes les vulnérabilités, les CVE, ainsi que leurs descriptions, dates de mise à jour et de publication, les scores CVE, ainsi que d’autres paramètres spécifiques à l’exploitation des vulnérabilités, sans oublier le score CVSS.
Jusqu’à maintenant, nous avons récupéré des CVE , ce qui signifie que nous avons obtenu des vulnérabilités ainsi que leurs scores , leurs descriptions , et ainsi de suite, mais pas encore leurs exploits .
Pour cela, nous pouvons consulter des bases de données publiques telles qu’Exploit Database , par exemple, pour récupérer à la fois la vulnérabilité et l’exploit, ce qui nous permettra de vérifier si elle est exploitable.
Il est important de noter qu’une vulnérabilité présente ne signifie pas nécessairement qu’elle est exploitable, car une version vulnérable ne garantit pas toujours l’exploitabilité.
Je peux prendre par exemple une vulnérabilité quelconque La vulnérabilité » ManageEngine ADManager Plus Build < 7183 – Recovery Password Disclosure » permet la divulgation du mot de passe de récupération. On a son identifiant sur la base de données, le code CVE et l’exploit dans la base de données nous permet aussi de vérifier si la vulnérabilité a été confirmée par ces derniers ou non. Dans ce cas, l’auteur, le type, je peux télécharger l’exploit ou le visualiser directement dans mon navigateur. On a également la plateforme, la date de publication, et si disponible, l’application vulnérable pour tester la vulnérabilité.
Si je descends un peu plus bas, j’ai l’exploit qui permet d’exploiter la vulnérabilité. Bien sûr, cela dépend du type d’application, de la solution, du développeur, de l’époque ou de l’exploit (entre parenthèses, cela peut être en PHP, en C, en Python, ou ainsi de suite). Exploit DB est une référence en matière de référencement de différents exploits. On peut y effectuer des recherches par type, plateforme, port, auteur de la vulnérabilité, etc.
Vous avez aussi d’autres plateformes telles que Sploitus , qui est en fait une sorte de moteur de recherche similaire à Google , mais pour les vulnérabilités CVE . Au lieu d’effectuer une recherche sur une seule plateforme, par exemple Exploit Database , Sploitus nous permet de réaliser une recherche sur plusieurs plateformes en même temps.
Je peux effectuer une recherche, par exemple, sur le spooler de Windows , qui est un service d’impression très vulnérable. Il suffit de taper » spooler « , d’appuyer sur Entrée , et il recherche simplement toutes les références à ce spooler avec les CVE associées. Ensuite, je peux choisir de cliquer directement sur l’exploit pour l’afficher.
Si je regarde en dessous, j’ai mon exploit. Je peux ouvrir la page et voir la source, et avoir tous les détails, comme on peut le voir ci-dessous. À gauche, on a la source des différents exploits, on peut trouver le » M » pour Metasploi t, qui est un framework d’exploitation automatisé de vulnérabilités, et encore plus d’autres détails.
0day.Today est une plateforme également très intéressante où l’on peut trouver des exploits qu’on ne trouve pas partout, ce qui est la première chose à souligner.
La deuxième chose à noter est que certaines vulnérabilités sont entièrement divulguées ( » full disclosure « ) et ne suivent pas le circuit habituel. Parfois, même les éditeurs ne sont pas nécessairement au courant de leur existence s’ils n’ont pas été correctement surveillés. C’est pourquoi il est important de suivre ce type de plateforme, bien que parfois un peu » sauvage » (entre parenthèses), on y trouve vraiment des informations extrêmement intéressantes.
Notamment, nous avons une zone privée. En cliquant sur » private « , nous retrouvons des zero day qui ne sont pas encore publiés publiquement, cela dépend de la plateforme concernée.
Bien sûr, le paiement se fait par Bitcoin , avec l’équivalent en dollars. Ci-dessus, nous avons tous les exploits que nous recherchons, cela dépend de l’utilisation, de la vulnérabilité et de la cible.
Pour avoir une idée des transactions payantes qui se déroulent dans la partie » zeroday « , je vous invite à jeter un coup d’œil sur une plateforme qui achète des zero day pour les utiliser ou les revendre à d’autres entités.
Si je clique sur « bounties », vous avez une idée du montant de la prime qui peut monter très rapidement pour une vulnérabilité sur Windows permettant une exécution de code à distance sans aucune interaction de l’utilisateur, allant jusqu’à un million de dollars.
Il existe aussi d’autres forums sur lesquels vous pouvez effectuer votre veille sur les vulnérabilités , les exploitations et même les zero day , notamment la plateforme Exploite.in .
En ce moment, vous pouvez également vous baser sur XSS.is ou encore d’autres plateformes similaires. Vous pouvez suivre les comptes les plus connus et les plus intéressants des chercheurs qui contribuent beaucoup à la communauté. Vous pouvez les retrouver sur les réseaux sociaux ou bien sur les ressources telles que les meilleurs liens à suivre.
L’organisme du NIST nous permet de réaliser un petit calcul rapide du score CVSS selon les versions. Vous pouvez trouver plus de détails sur le site du NIST . En fait, il fournit une petite calculatrice très intéressante. Comme nous l’avons mentionné précédemment, le score est basé sur des métriques temporelles, ainsi qu’une méthode environnementale.
Une fois que vous avez rempli toutes les informations spécifiques à chaque paramètre, notamment les vecteurs d’attaque tels que le réseau, la complexité de l’exploitation de la vulnérabilité, les privilèges requis, l’interaction de l’utilisateur (s’il y en a besoin ou pas), le champ d’application , l’impact sur la confidentialité , l’intégrité et la disponibilité , sans oublier les métriques temporelles . Cela inclut la maturité de l’exploit, c’est-à-dire s’il existe déjà des exploits ou simplement des preuves de concept, ainsi que le niveau de remédiation.
La méthode environnementale prend en compte des facteurs supplémentaires pour évaluer l’exploitation de la vulnérabilité. Ici, l’utilisateur peut renseigner des paramètres tels que la complexité de l’attaque , les privilèges requis , l’interaction de l’utilisateur , le champ d’application , le vecteur d’attaque , l’impact et les modificateurs du score.
Une fois que tous ces paramètres sont remplis, le score CVSS est calculé et affiché.
Il est également possible d’examiner l’ équation utilisée pour ce calcul, offrant ainsi une transparence et une compréhension approfondie du processus d’évaluation de la gravité des vulnérabilités
-
Les standardes CWE et CWSS
- Weakness Enumeration (CWE-XXXX)
- Weakness Enumeration (CWE-XXXX)
Liste d’informations contenant les failles et faiblesses dans la conception et l’architecture d’une application
- Common Weakness Scoring system
Fournit un mécanisme permettant de hiérarchiser les faiblesses logicielles de manière cohérente, flexible et ouverte
Nous pouvons trouver sur le site CWE , qui est maintenu par le NIST , une liste exhaustive des vulnérabilités et des erreurs fréquemment rencontrées par les développeurs lors de la conception et du développement de logiciels. Cette ressource offre une clarté tant au niveau conceptuel que physique, en fournissant une description détaillée des différents types d’erreurs et leur relation avec d’autres problèmes et vulnérabilités dans le code.
En consultant le CWE , nous avons accès aux Top 25 des vulnérabilités ou des faiblesses les plus courantes dans le développement de logiciels. Ces catégories d’erreurs incluent une variété de types d’erreurs que les développeurs peuvent rencontrer lors de la création de leur code.
La plateforme fournit également des descriptions détaillées des termes , des alternatives , et des relations avec d’autres problèmes et vulnérabilités au niveau du code, offrant ainsi une ressource précieuse pour améliorer la sécurité des applications logicielles
Responsible Disclosure et sécurité
Full Disclosure et failles NIST
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.
FAQ
Qu'est-ce que la MITRE Corporation et son rôle?
Comment fonctionne le système CVE?
Quels sont les objectifs du CVSS?
Comment utiliser les bases de données publiques pour les vulnérabilités?
Qu'est-ce que le Responsible Disclosure?
Conclusion
En comprenant mieux les vulnérabilités et les outils développés par la MITRE, comment envisagez-vous d’améliorer la sécurité de vos systèmes?