L’un des moyens les plus efficaces pour les professionnels des technologies de l’information (TI) de découvrir les faiblesses d’une entreprise avant que les méchants ne le fassent est le test d’intrusion. En simulant des cyberattaques réelles, les tests d’intrusion, parfois appelés pentests, fournissent des informations inestimables sur la posture de sécurité d’une organisation, révélant des faiblesses susceptibles de conduire à des violations de données ou à d’autres incidents de sécurité.

Vonahi Sécuritéles créateurs de vPenTest, une plateforme automatisée de tests d’intrusion de réseau, viennent de publier leur rapport annuel, “Les 10 principales conclusions critiques du test Pentest 2024” Dans ce rapport, Vonahi Security a mené plus de 10 000 tests d’intrusion réseau automatisés, révélant les 10 principales conclusions des tests d’intrusion réseau internes dans plus de 1 200 organisations.

Examinons chacune de ces conclusions critiques pour mieux comprendre les vulnérabilités exploitables courantes auxquelles les organisations sont confrontées et comment y remédier efficacement.

Top 10 des résultats et recommandations du Pentest

1. Usurpation de DNS multidiffusion (MDNS)

Le DNS multidiffusion (mDNS) est un protocole utilisé dans les petits réseaux pour résoudre les noms DNS sans serveur DNS local. Il envoie des requêtes au sous-réseau local, permettant à n’importe quel système de répondre avec l’adresse IP demandée. Cela peut être exploité par des attaquants qui peuvent répondre avec l’adresse IP de leur propre système.

Recommandations :

La méthode la plus efficace pour empêcher l’exploitation consiste à désactiver complètement le mDNS s’il n’est pas utilisé. Selon l’implémentation, cela peut être réalisé en désactivant le service Apple Bonjour ou avahi-daemon.

2. Usurpation du service de noms NetBIOS (NBNS)

NetBIOS Name Service (NBNS) est un protocole utilisé dans les réseaux internes pour résoudre les noms DNS lorsqu’un serveur DNS n’est pas disponible. Il diffuse des requêtes sur le réseau et n’importe quel système peut répondre avec l’adresse IP demandée. Cela peut être exploité par des attaquants qui peuvent répondre avec l’adresse IP de leur propre système.

Recommandations :

Voici quelques stratégies permettant d’empêcher l’utilisation de NBNS dans un environnement Windows ou de réduire l’impact des attaques d’usurpation d’identité NBNS :

  • Configurez la clé de registre UseDnsOnlyForNameResolutions afin d’empêcher les systèmes d’utiliser des requêtes NBNS (paramètres de configuration NetBIOS sur TCP/IP). Définissez le registre DWORD sur
  • Désactivez le service NetBIOS pour tous les hôtes Windows du réseau interne. Cela peut être fait via les options DHCP, les paramètres de la carte réseau ou une clé de registre.

3. Usurpation de la résolution de nom de multidiffusion lien-local (LLMNR)

Link-Local Multicast Name Resolution (LLMNR) est un protocole utilisé dans les réseaux internes pour résoudre les noms DNS lorsqu’un serveur DNS n’est pas disponible. Il diffuse les requêtes sur le réseau, permettant à n’importe quel système de répondre avec l’adresse IP demandée. Cela peut être exploité par des attaquants qui peuvent répondre avec l’adresse IP de leur propre système.

Recommandations :

La méthode la plus efficace pour empêcher l’exploitation consiste à configurer la clé de registre Multicast Name Resolution afin d’empêcher les systèmes d’utiliser les requêtes LLMNR.

  • Utilisation de la stratégie de groupe : Configuration ordinateurModèles d’administrationRéseauClient DNS Désactiver la résolution de nom de multidiffusion = Activée (Pour administrer un contrôleur de domaine Windows 2003, utilisez les outils d’administration de serveur distant pour Windows 7)
  • Utilisation du registre pour Windows Vista/7/10 Home Edition uniquement : HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft Windows NTDNSClient EnableMulticast

4. Usurpation DNS IPV6

L’usurpation d’identité DNS IPv6 se produit lorsqu’un serveur DHCPv6 malveillant est déployé sur un réseau. Étant donné que les systèmes Windows préfèrent IPv6 à IPv4, les clients compatibles IPv6 utiliseront le serveur DHCPv6 s’il est disponible. Lors d’une attaque, un serveur DNS IPv6 est attribué à ces clients, tout en conservant leurs configurations IPv4. Cela permet à l’attaquant d’intercepter les requêtes DNS en reconfigurant les clients pour qu’ils utilisent le système de l’attaquant comme serveur DNS.

Recommandations :

Désactivez IPv6, sauf si cela est requis pour les opérations commerciales. La désactivation d’IPv6 pouvant potentiellement provoquer une interruption des services réseau, il est fortement conseillé de tester cette configuration avant un déploiement massif. Une solution alternative consisterait à implémenter la protection DHCPv6 sur les commutateurs réseau. Essentiellement, la protection DHCPv6 garantit que seule une liste autorisée de serveurs DHCP est autorisée à attribuer des baux aux clients.

5. Systèmes Microsoft Windows obsolètes

Un système Microsoft Windows obsolète est vulnérable aux attaques car il ne reçoit plus de mises à jour de sécurité. Cela en fait une cible facile pour les attaquants, qui peuvent exploiter ses faiblesses et potentiellement se tourner vers d’autres systèmes et ressources du réseau.

Recommandations :

Remplacez les versions obsolètes de Microsoft Windows par des systèmes d’exploitation à jour et pris en charge par le fabricant.

6. Contournement de l’authentification IPMI

Intelligent Platform Management Interface (IPMI) permet aux administrateurs de gérer les serveurs de manière centralisée. Cependant, certains serveurs présentent des vulnérabilités qui permettent aux attaquants de contourner l’authentification et d’extraire les hachages de mots de passe. Si le mot de passe est par défaut ou faible, les attaquants peuvent obtenir le mot de passe en clair et accéder à distance.

Recommandations :

Puisqu’aucun correctif n’est disponible pour cette vulnérabilité particulière, il est recommandé d’effectuer une ou plusieurs des actions suivantes.

  • Restreindre l’accès IPMI à un nombre limité de systèmes (systèmes qui nécessitent un accès à des fins d’administration).
  • Désactivez le service IPMI s’il n’est pas requis pour les opérations commerciales.
  • Remplacez le mot de passe administrateur par défaut par un mot de passe fort et complexe.
  • Utilisez uniquement des protocoles sécurisés, tels que HTTPS et SSH, sur le service pour limiter les chances qu’un attaquant réussisse à obtenir ce mot de passe lors d’une attaque de l’homme du milieu.

7. Microsoft Windows RCE (BlueKeep)

Les systèmes vulnérables à CVE-2019-0708 (BlueKeep) ont été identifiés lors des tests. Cette vulnérabilité de Microsoft Windows est hautement exploitable en raison des outils et du code disponibles, permettant aux attaquants de prendre le contrôle total des systèmes affectés.

Recommandations :

Il est recommandé d’appliquer les mises à jour de sécurité sur le système concerné. En outre, l’organisation doit évaluer son programme de gestion des correctifs pour déterminer la raison du manque de mises à jour de sécurité. Comme cette vulnérabilité est couramment exploitée et pourrait entraîner un accès important, elle doit être corrigée immédiatement.

8. Réutilisation du mot de passe de l’administrateur local

Lors du test d’intrusion interne, il a été constaté que de nombreux systèmes partageaient le même mot de passe d’administrateur local. La compromission d’un compte d’administrateur local donnait accès à plusieurs systèmes, augmentant considérablement le risque de compromission généralisée au sein de l’organisation.

Recommandations :

Utilisez une solution telle que la solution de mot de passe d’administrateur local Microsoft (LDAPS) pour vous assurer que le mot de passe de l’administrateur local sur plusieurs systèmes n’est pas cohérent.

9. Microsoft Windows RCE (EternalBlue)

Les systèmes vulnérables à MS17-010 (EternalBlue) ont été identifiés lors des tests. Cette vulnérabilité Windows est hautement exploitable en raison des outils et du code disponibles, permettant aux attaquants de prendre le contrôle total des systèmes affectés.

Recommandations :

Il est recommandé d’appliquer les mises à jour de sécurité sur le système concerné. En outre, l’organisation doit évaluer son programme de gestion des correctifs pour déterminer la raison du manque de mises à jour de sécurité. Comme cette vulnérabilité est couramment exploitée et pourrait entraîner un accès important, elle doit être corrigée immédiatement.

10. Injection CGI Dell EMC IDRAC 7/8 (CVE-2018-1207)

Les versions Dell EMC iDRAC7/iDRAC8 antérieures à 2.52.52.52 sont vulnérables à CVE-2018-1207, un problème d’injection de commande. Cela permet à des attaquants non authentifiés d’exécuter des commandes avec les privilèges root, leur donnant ainsi un contrôle total sur le périphérique iDRAC.

Recommandations :

Mettez à niveau le micrologiciel vers la dernière version possible.

Causes courantes des résultats critiques du test d’intrusion

Bien que chacune de ces découvertes soit issue d’un exploit différent, beaucoup d’entre elles ont certains points communs. Les causes profondes de bon nombre des principales conclusions critiques du pentest restent les faiblesses de la configuration et les carences en matière de correctifs.

Faiblesses de configuration

Les faiblesses de la configuration sont généralement dues à des services mal renforcés au sein des systèmes déployés par les administrateurs et contiennent des problèmes tels que des informations d’identification faibles/par défaut, des services inutilement exposés ou des autorisations utilisateur excessives. Même si certaines faiblesses de la configuration peuvent être exploitables dans des circonstances limitées, l’impact potentiel d’une attaque réussie sera relativement élevé.

Lacunes des correctifs

Les déficiences en matière de correctifs s’avèrent toujours être un problème majeur pour les organisations et sont généralement dues à des raisons telles que la compatibilité et, souvent, des problèmes de configuration au sein de la solution de gestion des correctifs.

Ces deux problèmes majeurs prouvent à eux seuls la nécessité de tests d’intrusion fréquents. Alors que les tests annuels constituent l’approche habituelle pour les tests d’intrusion, les tests continus apportent une valeur considérable pour identifier les lacunes significatives, plus proches du contexte en temps réel, de la manière dont les risques de sécurité peuvent conduire à des compromissions importantes. Par exemple, le scanner Nessus de Tenable peut identifier LLMNR, mais uniquement à titre informatif. Les tests de pénétration du réseau trimestriels ou mensuels avec vPenTest de Vonahi mettent non seulement en évidence ces problèmes, mais expliquent également leur impact potentiel.

Qu’est-ce que vPenTest ?

vPenTest est une plateforme de test d’intrusion réseau leader et entièrement automatisée qui contribue de manière proactive à réduire les risques de sécurité et les violations dans l’environnement informatique d’une organisation. Il élimine les tracas liés à la recherche d’un testeur d’intrusion réseau qualifié et fournit des livrables de qualité qui communiquent les vulnérabilités identifiées, les risques qu’elles présentent pour l’organisation ainsi que la manière de remédier à ces vulnérabilités d’un point de vue technique et stratégique. Mieux encore, cela peut contribuer à renforcer les capacités de gestion de la conformité de l’organisation.

vPenTest

vPenTest : fonctionnalités et avantages clés

  • Évaluations complètes : Exécutez des tests internes et externes pour examiner minutieusement tous les points d’entrée potentiels de votre réseau.
  • Simulation du monde réel : Simulez des cybermenaces réelles pour obtenir des informations précieuses sur votre posture de sécurité.
  • Rapports opportuns et exploitables : Recevez des rapports détaillés et faciles à comprendre avec les vulnérabilités, leurs impacts et les actions recommandées.
  • Tests en cours : Définissez des intervalles de test mensuels pour garantir des mesures de sécurité proactives et réactives.
  • Réponse efficace aux incidents : Identifiez les vulnérabilités dès le début pour vous préparer efficacement aux incidents de sécurité potentiels.
  • Alignement de la conformité : Répondez aux exigences de conformité réglementaire telles que SOC2, PCI DSS, HIPAA, ISO 27001 et aux exigences de cyberassurance.

Obtenez un essai gratuit dès aujourd’hui et découvrez à quel point il est facile d’utiliser vPenTest pour identifier de manière proactive vos risques de cyberattaques en temps réel.

Essayez vPenTest gratuitement !

Vous avez trouvé cet article intéressant ? Cet article est une contribution de l’un de nos précieux partenaires. Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57