Rien de plus simple pour les pentesters. Dans 68 % de cas, deux étapes à peine ont été nécessaires pour accéder au réseau local ! Inquiétant.
En moyenne, il faut 4 jours pour pénétrer un réseau local. Parfois, aussi, il peut suffire d’une demi heure… Les statistiques de Positive Technologie sur ses pentesters sont éloquentes. Au point de faire froid dans le dos. Peu de sociétés en réchappent puisque le taux de réussite est de 93 %. Les pentesters avouent que dans la majorité des cas, ils ont trouvé plusieurs portes d’entrée dans le réseau interne. Pour une entreprise, pas moins de 13 vecteurs de pénétration ont été recensés. Dans 68 % de cas, deux étapes à peine ont été nécessaires pour accéder au réseau. Par ailleurs, dans leurs investigations, les pentesters ont trouvé des traces de piratage antérieur (lien malveillant sur des sites officiels, des identifiants, des Web shell sur le périmètre réseau)…
Les applications web, de loin les plus fragiles
Sur les vecteurs les plus utilisés, la faible sécurité des applications web est manifeste, apparaissant dans 77 % des cas. Et dans 71 % des entreprises, il y avait au moins un vecteur de pénétration facile… Dans 68 % des entreprises, les attaques réussies contre les applications Web impliquaient des attaques de force brute pour pirater les informations d’identification. Si des attaquants forcent brutalement le mot de passe d’au moins un compte de domaine, ils peuvent découvrir les identifiants d’autres utilisateurs en téléchargeant le carnet d’adresses hors ligne, qui répertorie toutes les adresses e-mail des employés de l’entreprise. Dans l’une des organisations testées, les pentesters de Positive Technologies ont obtenu plus de 9 000 adresses e-mail en utilisant cette méthode !
L’accès par de veilles vulnérabilités
Les tests reposaient fortement sur l’exploitation de vulnérabilités logicielles connues, par exemple dans les anciennes versions de Laravel et d’Oracle WebLogic Server, qui permettaient l’accès au réseau local à 39 % des entreprises. En outre, les pentesters ont découvert six vulnérabilités d’exécution de code à distance (RCE) zero-day, notamment CVE-2019-19781 dans Citrix Application Delivery Controller (ADC) et Citrix Gateway. Positive Technologies recommande d’installer les mises à jour de sécurité du système d’exploitation et les dernières versions du logiciel en temps opportun et de s’assurer que les logiciels contenant des vulnérabilités connues n’apparaissent pas sur le périmètre du réseau.
