SOLUTIONS
icon
JIZÔ NDR
JIZÔ ALERT ADVISOR (IA)
JIZÔ FOR OT
icon
HOSHI
icon
LOKI
SOCIÉTÉ
icon
SOCIETE
icon
ON RECRUTE
icon
CONTACT
SUBSCRIBE
ACTUS
BLOG
icon
PRESSE
icon
AGENDA
PARTENAIRES
REVENDEURS ET DISTRIBUTEURS
PARTENAIRES TECHNOLOGIQUES
RESSOURCES
icon
DOSSIERS ET LIVRES BLANCS
WEBINAIRES
CONTACT
GET A DEMO

DÉTECTER L'EXPLOITATION DE VOS VULNÉRABILITÉS AVEC JIZÔ NDR

Les vulnérabilités informatiques représentent une menace constante pour la sécurité des réseaux informatiques.

Leur exploitation peut permettre à des acteurs malveillants de compromettre des systèmes, voler des données ou même prendre le contrôle de l'infrastructure informatique d'une organisation.

Pour contrer ces menaces, les systèmes de détection basés sur les réseaux (NDR) jouent un rôle crucial.

Cet article explore comment le NDR Jizô, en combinant les moteurs de détection peut détecter efficacement l'exploitation de ces vulnérabilités.

EXEMPLE DES DES VULNÉRABILITÉS CRITIQUES SUR LES PRODUITS IVANTI

Avant de plonger dans les mécanismes de détection, il est essentiel de comprendre la nature des vulnérabilités en question.

Les vulnérabilités CVE-2023-46805 et CVE-2024-21887, qui affectent Ivanti Connect Secure et Ivanti Policy Secure, ont été identifiées comme ayant un niveau de sévérité élevé, avec des scores CVSS de 8.2 et 9.1 respectivement.

La CVE-2023-46805 est une vulnérabilité de contournement d'authentification, permettant à un attaquant d'accéder à des ressources restreintes en contournant les contrôles.

La CVE-2024-21887 est, quant à elle, une vulnérabilité d'injection de commande qui permet l'exécution de commandes arbitraires par un utilisateur authentifié​​​​.

L'exploitation active de ces vulnérabilités a été confirmée, avec des attaques combinant ces deux failles pour exécuter du code à distance sans authentification.

Ces attaques ont mené à l'implantation de webshells sur les systèmes compromis, permettant aux attaquants de maintenir une présence sur le réseau même après la correction des vulnérabilités exploitées​​.

Plus de 1 700 équipements à travers le monde ont montré des preuves de compromission due à ces vulnérabilités​​.

On l'a donc compris, ces 2 failles peuvent être exploitées de diverses manières, nécessitant ainsi des méthodes de détection sophistiquées.

LE RÔLE DES MOTEURS DE DÉTECTION DE JIZÔ NDR

Jizô, le NDR français qualifié par l'ANSSI, combine un certain nombre de moteurs de détection lui permettant d'être d'une précision chirurgicale dans sa détection.

L'un de ces moteurs, pilier fondamental dans l'identification des menaces sur le réseau, fonctionne en comparant le trafic réseau à des modèles connus d'activités malveillantes, comme celles qui sont associées à des vulnérabilités spécifiques.

Pour détecter l'exploitation de CVE-2023-46805 et CVE-2024-21887, Jizô va utiliser des règles produites par l'équipe cyber threat intelligence de Sesame it, et qui décrivent les caractéristiques uniques de ces exploits, comme les motifs spécifiques de paquets de données ou les séquences d'actions suspectes sur le réseau.

Cette méthode est extrêmement efficace pour identifier les attaques simples comme complexes, de la simple attaque par DDoS aux attaques complexes de type APT.

Cependant, dans certains cas, il est nécessaire de consolider la détection, notamment face à des attaques inédites ou légèrement modifiées, conçues pour éviter les mécanismes de découverte.

C'est là que Jizô IA, le moteur basés sur l'IA, entre en jeu.

Jizô IA offre une approche complémentaire aux autres moteurs de détection de Jizô.

Plutôt que de rechercher des correspondances exactes avec des modèles connus, ils analysent le trafic réseau pour identifier des comportements anormaux ou suspects qui pourraient indiquer une exploitation de vulnérabilité.

Pour ce faire, l'IA est entraînée sur d'énormes volumes de données de trafic, à la fois bénignes et malveillantes, lui permettant d'apprendre à distinguer les activités normales des anomalies.

Cette approche est particulièrement efficace pour détecter des exploits zero-day ou des variations d'attaques connues qui ne correspondent pas exactement à une pattern préexistant.

COMMENT JIZÔ NDR DÉTECTE L'EXPLOITATION DE CVE-2023-46805 ET CVE-2024-21887

Le scénario

Un attaquant cherche à exploiter la vulnérabilité CVE-2023-46805, une faille de contournement d'authentification dans un composant web d'Ivanti Connect Secure. L'objectif est d'accéder à des ressources restreintes sans les autorisations nécessaires.

Pour ce faire, l'attaquant envoie une série de requêtes HTTP spécialement conçues au serveur vulnérable, tentant de manipuler le processus d'authentification.

Détails Techniques de l'Exploitation

Préparation de l'Attaque

  • L'attaquant analyse le système cible pour identifier la version du composant web et confirmer sa vulnérabilité à CVE-2023-46805.

Exécution de l'Attaque

  • Utilisant un outil automatisé ou un script, l'attaquant envoie des requêtes HTTP qui exploitent la vulnérabilité de contournement d'authentification. Ces requêtes sont conçues pour omettre ou falsifier les mécanismes de contrôle d'accès attendus par le serveur.

Accès non Autorisé

  • Si l'exploitation réussit, l'attaquant obtient un accès aux fonctionnalités ou données normalement protégées, sans nécessiter de s'authentifier.

Réponse de Jizô NDR

Jizô analyse en temps réel le trafic réseau en le confrontant à tous les règles de détection qui ont été activées. De ce fait, il est en capacité d'identifier immédiatement les motifs spécifiques des requêtes HTTP associées à l'exploitation de cette vulnérabilité.

Parallèlement, le moteur d'IA de Jizô surveille les anomalies comportementales dans le trafic réseau. Même sans une règle précise pour une nouvelle variante d'attaque, Jizô IA peut détecter des schémas inhabituels de requêtes ou une augmentation soudaine de l'accès aux ressources sensibles, indiquant une exploitation potentielle.

Une fois l'exploitation détectée, Jizô NDR génère une alerte de sécurité détaillant la nature de l'attaque, les systèmes ciblés, et propose des actions de mitigation.

Cette alerte permet aux opérateurs de sécurité de réagir rapidement, par exemple, en isolant le système affecté, en appliquant des règles de pare-feu pour bloquer le trafic malveillant, ou en déployant un patch de sécurité.

CONCLUSION

La combinaison des moteurs de détection de Jizô offre une approche robuste et complète pour la détection des vulnérabilités et de leurs exploits.

Tandis que les signatures précises produites par nos équipes de CTI fournissent une méthode fiable et rapide pour identifier les attaques connues, l'IA élargit le champ de détection pour inclure les menaces émergentes et inédites.

Cette synergie permet aux organisations de se défendre contre un éventail plus large de cyberattaques, renforçant ainsi la sécurité de leurs réseaux informatiques face aux menaces en constante évolution.