C'est bien connu, mieux vaut prévenir que guérir. Suivant cet adage, l'agence américaine de renseignement (NSA) a publié une infographie synthétisant (voir ci-dessous) les vulnérabilités les plus exploitées par des pirates chinois. Il faut dire qu'aux côtés des Russes, les cyberattaquants sont particulièrement actifs du côté du pays de la grande muraille. « Nous entendons fortement et clairement qu'il peut être difficile de prioriser les efforts de patching et d'atténuation », a expliqué la directrice de la NSA en charge de la cybersécurité Anne Neuberger. « Nous espérons qu'en mettant en lumière les vulnérabilités que la Chine utilise activement pour compromettre des systèmes, les professionnels de la cybersécurité gagneront des informations exploitables pour prioriser les efforts et sécuriser leurs systèmes ».
La NSA a rassemblé son Top 25 des failles les plus importantes exploitées par les pirates chinois dans 7 catégories : accès distant avec escalade de privilèges (CVE-2019-11510, CVE-2019-19781, CVE-2020-8195, CVE-2019-0708, CVE-2020-5902, CVE-2020-8193 et CVE-2020-8196), gestion des terminaux mobiles (CVE-2020-15505), Active Directory débouchant sur des mouvements latéraux et accès à des identifiants (CVE-2020-1472 et CVE-2019-1040), serveurs publics (CVE-2020-1350, CVE-2018-6789 et CVE-2018-4939), serveurs internes (CVE-2020-0688, CVE-2020-2555, CVE-2019-11580, CVE-2019-18935, CVE-2015-4852, CVE-2019-3396 et CVE-2020-10189), stations de travail pour de l'escalade de privilèges locaux (CVE-2020-0601, CVE-2019-0803), et terminaux réseaux (CVE-2017-6327, CVE-2020-3118 et CVE-2020-8515).
Un cocktail de tactiques et de techniques d'exploit
« La cyberactivité malveillante parrainée par l'État chinois constitue une menace pour les réseaux d'information NSS, DIB et DOD. Ces acteurs utilisent une gamme complète de tactiques et de techniques pour exploiter les réseaux informatiques d'intérêt qui détiennent des informations sensibles de propriété intellectuelle, économiques, politiques et militaires. Étant donné que ces techniques incluent l'exploitation de vulnérabilités connues du public, il est essentiel que les défenseurs de réseaux accordent la priorité aux correctifs et aux autres efforts d'atténuation », a par ailleurs précisé la NSA.