Lorsqu’un service mal configuré ou vulnérable est exposé sur Internet, quelques minutes suffisent à un hacker pour le découvrir et le compromettre… C’est ce que démontre un test des chercheurs de l’Unit 42 (structure de conseil et d’analyse/recherches des menaces cyber de Palo Alto Networks) qui ont déployé ont déployé 320 honeypots, des leurres informatiques, en Amérique du Nord, en Asie Pacifique et en Europe entre juillet août derniers.
Entre juillet et août 2021, les chercheurs de l’unité 42 ont déployé 320 honeypots, (pots à miel ou leurres informatiques), en Amérique du Nord, en Asie Pacifique et en Europe. La démarche visait à analyser le moment, la fréquence et l’origine des attaques observées au sein de l’infrastructure du honeypot.
À l’intérieur de l’infrastructure servant d’appât, les chercheurs ont ainsi déployé plusieurs instances des protocoles RDP, SSH et SMB, ainsi qu’une base de données PostgreSQL. Les résultats révèlent que 80 % des leurres avaient été compromis en 24 heures, et la totalité en une semaine.
Voici ce qui ressort de cette analyse :
- SSH est l’application ayant subi le plus d’attaques, avec un nombre d’attaquants et d’évènements de compromission bien plus élevé que pour les trois autres applications.
- Le leurre SSH le plus visé a été compromis 169 fois le même jour.
- En moyenne, chaque leurre SSH a été compromis 26 fois par jour.
- 30 secondes : c’est le temps qu’il a fallu à un malfaiteur pour compromettre 96 % de nos 80 leurres PostgreSQL déployés dans le monde.
- 85 % : c’est le nombre des IP d’attaquants observées le même jour. Ce chiffre nous indique que les pare-feux de couche 3 avec des règles d’entrée et de sortie basées sur les adresses IP sont inefficaces, puisque les attaquants utilisent rarement les mêmes adresses IP pour lancer leurs offensives. De fait, une liste des adresses IP malveillantes créées aujourd’hui sera très probablement obsolète demain.
“La vitesse de gestion des vulnérabilités est généralement mesurée en jours ou en mois. À cette mesure s’oppose le fait que les attaquants aient pu trouver et compromettre nos leurres en quelques minutes, ce qui est particulièrement inquiétant. Cette recherche démontre le risque posé par des services exposés et non sécurisés, et les résultats réaffirment la nécessité de neutraliser et de corriger les incidents de sécurité au plus vite. Preuve en est avec cette expérience : lorsqu’un service mal configuré ou vulnérable est exposé sur Internet, quelques minutes suffisent à un hacker pour le découvrir et le compromettre. Pour corriger les incidents de sécurité, aucune marge d’erreur n’est permise“, expliquent les chercheurs.
Notez que le nombre moyen d’adresses IP d’attaquant uniques observées sur un pot de miel dans les différentes régions est globalement le plus important est en Asie Pacifique, en particulier sur les services SSH. Le nombre d’attaques SSH contre les pots de miel basés en Asie Pacifique APAC est 50 % plus élevé que ceux de Amérique du Nord et 263 % plus élevé que ceux dans l’UE. Voir graphique ci-dessous.
