Le bruit de fond des réseaux : un indicateur clé des futures vulnérabilités des appareils connectés

Des pics de trafic révélateurs de vulnérabilités imminentes

Les attaquants ne ciblent pas les failles des appareils connectés au hasard. Avant d’exploiter une vulnérabilité, ils effectuent généralement des tests pour évaluer son ampleur et le niveau d’accès qu’elle offre. Ces phases de surveillance et de préparation génèrent des signaux précurseurs, notamment des pics de trafic dirigés vers des fabricants spécifiques.

Une étude menée par GreyNoise, partagée en exclusivité avec CyberScoop, démontre que ces signaux peuvent servir d’avertissement précoce. Sur les 103 jours d’analyse réalisés l’hiver dernier, près de la moitié des pics d’activité détectés ont été suivis, dans un délai de trois semaines, par une annonce publique de vulnérabilité émanant du même fournisseur ciblé.

Un délai médian de neuf jours avant l’alerte publique

Les chercheurs ont déterminé que l’avertissement médian d’une vulnérabilité à venir arrivait neuf jours avant l’annonce officielle du fabricant à ses clients.

« Virtuellement à chaque fois que nous observons des pics massifs d’activité de reconnaissance ou d’inventaire ciblant un appareil, c’est parce que quelqu’un connaît déjà une faille. »
Andrew Morris, fondateur et architecte en chef de GreyNoise

Selon Morris, chaque jour de préavis compte pour les défenseurs, leur permettant de renforcer leurs protections avant une exploitation massive. GreyNoise a recensé 104 pics d’activité distincts sur 18 fournisseurs durant la période d’étude. Ces appareils, incluant routeurs, VPN, pare-feux et systèmes de sécurité, sont régulièrement la cible des failles les plus exploitées.

Les appareils de sécurité, cibles privilégiées des cybercriminels

Les attaquants privilégient les appareils conçus pour sécuriser les réseaux.

« Les pirates adorent pirater les dispositifs de sécurité. L’ironie de la situation ne m’échappe pas. »
Andrew Morris

Malgré cette menace croissante, les organisations tardent à réagir.

« Le problème n’est pas encore assez grave pour que nous prenions ces failles au sérieux. Cela ne nous pousse pas à remplacer ces appareils par des modèles plus récents ou issus d’autres fournisseurs. »

Des vulnérabilités liées à des pics de trafic chez les grands acteurs

GreyNoise a établi un lien entre ces pics de trafic et une série de vulnérabilités divulguées par des acteurs majeurs du marché, dont Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5, Netgear et d’autres.

« Cela devient empiriquement mesurable, presque comme de la météorologie plutôt que de la magie. C’est désormais une question de routine. »

L’entreprise analyse ces pics en mesurant leur intensité (nombre de sessions) et leur portée (nombre d’adresses IP uniques impliquées).

« Lorsque l’intensité et la portée augmentent simultanément, cela signale une escalade coordonnée. »

Les chercheurs recommandent aux entreprises de considérer un pic de sessions combiné à l’arrivée de nouvelles adresses IP comme un signal de haute confiance pour investiguer. En revanche, un simple pic d’adresses IP ne doit pas être interprété comme une preuve de vulnérabilité imminente.

Une étude qui confirme les tendances du secteur

Ces conclusions rejoignent les recherches menées par Verizon, le Google Threat Intelligence Group et Mandiant. Elles interviennent alors que GreyNoise évoque « la période la plus active jamais enregistrée » en matière de vulnérabilités critiques.