Dans un rapport publié récemment par Flashpoint, le spécialiste du renseignement sur les cybermenaces a déclaré avoir détecté un total de 11 860 vulnérabilités au cours du premier semestre 2022, et que près d'un tiers avaient été manquées ou non mentionnées par la base de données publique CVE (Common Vulnerabilities and Exposures) de MITRE. Le rapport, intitulé « State of Vulnerability Intelligence », comprend les divulgations (vulnérabilités de sécurité dans les produits matériels et logiciels signalées par les fournisseurs et les experts en cybersécurité) recueillies par la base de données interne VulnDB de Flashpoint.
L’éditeur pointe d'énormes divergences dans la gravité et la classification des vulnérabilités signalées par VulnDB, et celles enregistrées dans la base de données CVE de MITRE et la base de données NVD maintenue par l'Institut national américain des normes et de la technologie (National Institute of Standards and Technology, NIST). Le NIST et MITRE coordonnent leurs recherches et signalent les vulnérabilités similaires. Flashpoint recommande aux entreprises de s'appuyer sur des sources plus complètes et plus spécifiques pour avoir une vision claire du paysage des failles.
Des vulnérabilités inconnues de MITRE CVE
Flashpoint a affirmé que 20,7 % des vulnérabilités signalées par VulnDB n'avaient pas d'identifiant CVE, ce qui indique une défaillance de la base MITRE. De plus, 6,6 % d'entre elles ont été enregistrées dans la section réservée de CVE, qui comprend des divulgations auxquelles MITRE a attribué des ID, sans les détails respectifs. « Si l'on compare la couverture de la base VulnDB à celle de MITRE et de NIST, CVE/NVD a omis de signaler et de détailler 27,3 % de toutes les failles connues divulguées au cours du premier semestre 2022 », indique le rapport. Par ailleurs, le rapport fait remarquer que les directives de notation CVSS (Common Vulnerability Scoring System) font le choix d’attribuer « la pire » notation si les détails impliquant l'un des paramètres CVSS considérés, à savoir le vecteur d'accès, la complexité d'accès et l'impact de la vulnérabilité sur l'authentification, la confidentialité, l'intégrité et la disponibilité ne sont pas clairs.
Flashpoint a déclaré que, même si cette méthodologie est utilisée pour s'assurer que la notation n'est pas trop basse, elle finit par attribuer un 10.0 injustifié à de nombreuses vulnérabilités - et que celles-ci représentent une moyenne de 51,5 % de toutes les vulnérabilités ayant reçu la note la plus élevée au cours de chacune des dix dernières années. Selon l'analyse de Flashpoint, 2 081 des vulnérabilités trouvées se situent dans une « zone idéale » : elles disposent d'un exploit public et sont exploitables à distance, mais sont facilement corrigibles. Toujours selon le rapport, il est possible de classer ces vulnérabilités par ordre de priorité lors de la correction, et l'efficacité ainsi obtenue peut réduire de 82 % la charge de travail des équipes de sécurité. Le rapport a également révélé qu'au cours du premier semestre de l'année, Flashpoint avait identifié environ 40 % de vulnérabilités de plus « exploitées dans la nature » que le populaire Project Zero de Google. « Ces failles sont importantes car elles concernent aussi bien des logiciels courants que des technologies en développement comme la blockchain », a expliqué Flashpoint.
SUSE, en tête des divulgations de vulnérabilités
Selon VulnDB, ce premier semestre de l'année a été marqué par une quantité importante de divulgations de failles signalées sur les produits de SUSE, SPI, Microsoft et Google, avec respectivement 735, 712, 677 et 573 vulnérabilités. La liste de SUSE contenait six produits parmi les 10 ayant fait l’objet du plus grand nombre de divulgations sur la période, le plus grand nombre de divulgations ayant été révélé lors des « Patch Tuesdays », selon Flashpoint. Les Patch Tuesdays font référence au deuxième mardi du mois, date à laquelle la plupart des mises à jour de sécurité critiques sont publiées par des fournisseurs comme Microsoft, Adobe et Oracle.
Ils représentent six des dix jours les plus actifs, en termes de divulgations de vulnérabilités. La mise à jour trimestrielle Critical Patch Update (CPU) d'Oracle et les mises à jour logicielles d’entreprises comme Bentley, Cisco et Juniper sont aussi des moments de divulgations très actifs. Cependant, selon Flashpoint, le nombre de divulgations augmentent de plus en plus les jours ordinaires. Par rapport aux 12 160 diagnostiqués du premier semestre de l'année dernière, VulnDB a enregistré moins de divulgations de vulnérabilités. Toutefois, le rapport précise que le début modeste de l'année 2022 relevé par VulnDB devrait s'accélérer au cours du second semestre, en partie à cause du nombre probablement élevé d’entrées tardives de brèches déjà signalées, mais pas encore incluses dans la base de données VulnDB parce qu'elles n'avaient pas encore fait l'objet de recherches approfondies.
Le temps de réponse, plus important que le total des vulnérabilités
Selon Flashpoint, il est important que les dirigeants d'entreprise n'interprètent pas le total des vulnérabilités comme un indicateur positif ou négatif de la posture de sécurité d'un fournisseur. En guise d’explication, Flashpoint a révélé une série interne de métadonnées appelées « Vulnerability Timeline and Exposure Metrics (VTEM) » qui montrent le temps moyen qu’il a fallu à un éditeur pour livrer un correctif de sécurité pour une vulnérabilité, et le temps estimé avant qu'un exploit soit disponible. Selon le rapport, « en comparant ces deux indicateurs, les équipes de sécurité peuvent mieux évaluer et prendre des décisions ». Par exemple, le rapport trouve que, malgré le grand nombre de divulgations, le temps de réponse de Microsoft (correctifs dans un délai d'un mois) est meilleur que celui de nombreux autres fournisseurs.