Réponse rapide aux vulnérabilités critiques : Un impératif pour la cybersécurité
Lorsque des alertes et des titres annoncent des vulnérabilités critiques dans des logiciels largement utilisés, il est essentiel que la communauté de la cybersécurité adopte une approche proactive et efficace.
Un exemple marquant s’est produit le 19 février de cette année, lorsque ConnectWise a publié un avis de sécurité concernant toutes les versions antérieures à 23.9.8 de son produit ScreenConnect, un logiciel prisé pour la gestion à distance des systèmes. Cet avis mentionnait deux vulnérabilités (CVE-2024-1709 et CVE-2024-1708) et exhortait les utilisateurs à appliquer des correctifs sans délai.
Bien que cela ne soit pas habituellement alarmant, l’une des vulnérabilités a reçu un score CVSS de 10, le niveau de gravité le plus élevé, et l’avis de ConnectWise a été classé comme « Critique ». Cela a immédiatement alerté l’équipe de Huntress.
Face à cette urgence, l’équipe de Huntress a réagi rapidement, prenant des mesures le jour même. Voici un aperçu des actions menées, de la coordination minutieuse et de l’engagement envers la protection de la communauté qui ont caractérisé cette réponse.
Le rôle essentiel des équipes de cybersécurité : Mettre l’expertise en action
Lorsqu’une vulnérabilité critique se présente, il est crucial que les équipes de cybersécurité mobilisent rapidement leur expertise collective pour accélérer la réponse et la remédiation. Quelques heures après le bulletin de ConnectWise, l’équipe de Huntress s’est réunie pour reproduire et développer une preuve de concept exploitant la vulnérabilité d’authentification, baptisée « SlashAndGrab ». Cet exploit, bien que simple, exposait les utilisateurs à des menaces considérables.
Les équipes de cybersécurité doivent agir avec prudence et précision, en soulignant la gravité tout en fournissant des étapes claires et réalisables. À ce moment-là, plus de 8 800 serveurs ConnectWise étaient encore vulnérables, ce qui a nécessité la création d’un correctif temporaire, accompagné d’instructions claires pour les utilisateurs. Nous ne voulions pas que les utilisateurs deviennent des cibles faciles avec cette vulnérabilité non corrigée.
Un plan d’action pour naviguer en période de crise
Comme l’a dit Mike Tyson, « Tout le monde a un plan jusqu’à ce qu’il se prenne un coup ». Dans le cadre de l’assistance à la communauté lors d’incidents majeurs, il est inévitable de rencontrer des obstacles. C’est pourquoi les équipes doivent s’appuyer sur leur expérience, établir des protocoles et encourager une culture de communication pour élaborer un plan efficace.
Étape 1 : Comprendre la situation
Des situations comme celle de la vulnérabilité de ConnectWise nécessitent des rôles clairs et une communication efficace, chaque membre de l’équipe devant comprendre la menace, son rôle et les informations à partager. Bien que peu de détails aient été fournis dans l’avis initial, l’équipe de Huntress, composée de chercheurs en cybersécurité et d’analystes SOC, a immédiatement commencé à enquêter sur ces vulnérabilités.
Nous avons commencé à documenter les informations critiques pour préparer les équipes marketing et de support. En quelques heures, nous avons pu comprendre l’exploit et construire une preuve de concept, illustrant à quel point cette vulnérabilité était basique et facile à exploiter.
Étape 2 : Alerter rapidement
Il est essentiel de donner l’alerte de manière à inciter à l’action et à renforcer rapidement les défenses. Dans les heures suivant l’avis, l’équipe a contacté tous les partenaires de Huntress utilisant une version vulnérable de ScreenConnect, réitérant l’importance de corriger immédiatement. Plus de 1 600 rapports d’incidents ont été envoyés aux partenaires, avec des étapes claires, car nous savions que la communication rapide et la mitigation étaient essentielles pour fermer la fenêtre d’opportunité pour les attaquants.
Un autre défi : une fois que l’équipe de Huntress a facilement reproduit l’exploit, nous savions qu’il ne fallait pas divulguer les détails de la vulnérabilité tant que l’industrie n’avait pas eu le temps de corriger. Il aurait été trop dangereux que ces informations soient accessibles aux acteurs malveillants.
Bien sûr, il n’a pas fallu longtemps avant que l’information ne soit divulguée. Les détails de l’exploit ont été partagés par plusieurs parties, devenant largement accessibles au public et aux hackers. Nous avons rapidement concentré nos efforts sur l’aide à la communauté, en publiant une analyse détaillée, en fournissant des conseils de détection et en soulignant la nécessité de corriger immédiatement. Une fois qu’une preuve de concept est rendue publique, une communication large augmente la probabilité que ceux qui sont touchés reçoivent les notifications. L’avantage d’autonomiser les défenseurs avec la preuve de concept et les défenses applicables réduit plus de risques que de tenter de cacher l’information.
Étape 3 : Agir avec détermination
Plutôt que de rester inactifs en attendant que la situation empire, nous avons pris des mesures en publiant un correctif temporaire pour les hôtes utilisant la version vulnérable. Ce correctif pouvait temporairement contrer les acteurs malveillants tout en laissant aux utilisateurs le temps de corriger et de mettre à jour correctement. En quelques heures, notre correctif et des conseils de détection supplémentaires étaient disponibles et partagés publiquement, avec des détails étape par étape pour les partenaires et les organisations concernées.
Au fur et à mesure que de nouvelles informations affluaient, nous avons ajouté du contenu et des informations sur tout ce qui concerne SlashAndGrab. En cas de doute, il est préférable d’être proactif. La capacité d’une équipe à prendre les choses en main et à communiquer rapidement peut faire la différence dans la manière dont la communauté réagit.
Des équipes de cybersécurité plus affûtées pour une réponse plus forte
Pour citer notre PDG, « C’était vraiment grave ». Mais cela n’aurait pas dû s’aggraver. Avec une réponse coordonnée et un plan solide pour naviguer dans les événements de crise, les équipes de cybersécurité peuvent devenir une partie de la solution et protéger la communauté plus rapidement et plus efficacement.
