WordPress et Apache Struts, les cibles préférées des pirates

Les vulnérabilités de WordPress et d’Apache Struts ont été les plus ciblées par les cybercriminels dans les frameworks d’application Web en 2019 – tandis que les bugs de validation des entrées battaient les scripts intersites (XSS) pour être le type de faille le plus exploité par les pirates.

C’est ce que révèle le rapport de RiskSense Spotlight, qui a analysé 1 622 vulnérabilités de l’année 2010 à Novembre 2019. Les frameworks Web rationalisent le développement et le déploiement d’applications et de sites Web. Au lieu d’exiger des développeurs qu’ils codent chaque ligne de PHP, HTML, etc., un framework peut leur fournir des blocs prêts à l’emploi pour de nombreuses tâches courantes.

«Même si les meilleures pratiques de développement d’applications sont utilisées, les vulnérabilités du framework peuvent exposer les entreprises à des failles de sécurité. Pendant ce temps, la mise à niveau des frameworks peut être risquée car les changements peuvent affecter le comportement, l’apparence ou la sécurité inhérente des applications », a déclaré Srinivas Mukkamala, PDG de RiskSense, dans un communiqué. «Par conséquent, les vulnérabilités du framework représentent l’un des éléments les plus importants, mais mal compris et souvent négligés, de la surface d’attaque d’une organisation.»

WordPress et Apache Struts en première ligne

La firme a découvert que WordPress et Apache Struts représentaient à eux seuls 57% des failles de frameworks exploitées au cours de l’année. Leurs langages sous-jacents respectifs, PHP pour WordPress et Java pour Struts, étaient également les langages les plus utilisés dans l’étude.

wordpress code snippets

De plus, bien que WordPress ait été confronté à un certain nombre de types de failles différentes au cours de l’année, XSS était la faille la plus courante selon l’analyse. La validation des entrées était quant à elle le plus gros risque pour le framework d’Apache Struts.

Mis à part leur prévalence dans WordPress, les failles XSS ont globalement chuté ces dernières années: XSS était la vulnérabilité la plus courante au cours de la période d’étude de 10 ans, mais elle se retrouve à la cinquième place lorsqu’on compte seulement les cinq dernières années. Pendant ce temps, la validation des entrées représente 24% de toutes les vulnérabilités exploitées au cours des cinq dernières années, affectant principalement Apache Struts, WordPress et Drupal.

apache struts

L’analyse a également révélé que, même si le nombre total des vulnérabilités de sécurité informatique dans les frameworks avait baissé l’année dernière, le taux d’exploitation de ces failles avait augmenté. Ce taux est passé à 8,6% en 2019.

Au total, 27,7% des vulnérabilités de WordPress étaient exploitées et 38,6% pour Apache Struts.

“Il n’est pas surprenant qu’Apache Struts soit l’un des frameworks d’application les plus ciblés du marché”, a déclaré Mehul Revankar, directeur de la gestion des produits chez SaltStack. “Il s’agit d’une dépendance clé pour de nombreuses applications Web modernes, et il n’est pas facile de savoir s’il est utilisé ou non par une application.”

Un exploit d’Apache Struts était à l’origine de la fameuse brèche de données d’Equifax en 2017 qui concernait 147 millions de personnes.

Certains types spécifiques de bugs ont également connu un taux d’exploitation plus élevé. Par exemple, l’injection SQL, les injections de code et diverses injections de commandes sont recherchées par les pirates informatiques et ont vu des taux d’exploitation assez élevé dans l’étude, bien qu’elles soient assez rares.

Les frameworks JavaScript et Python ont eu la plus faible exploitation de vulnérabilités dans l’ensemble. Par exemple, Node.js , basé sur JavaScript, avait un nombre de vulnérabilités considérablement plus élevé que les autres frameworks JavaScript l’année dernière, avec 56 vulnérabilités – mais une seule a été militarisée à ce jour, selon la recherche. De même, Django avait 66 vulnérabilités, dont une seule militarisée.

«Les vulnérabilités des applications Web ont été un vecteur d’attaque de plus en plus mûr au cours de la dernière décennie», a déclaré Jack Mannino, PDG de nVisium. «Les implémentations de WordPress et Apache Struts en particulier ont été en proie à des plugins et des versions de bibliothèque obsolètes. Comme ces systèmes ne sont pas patchés et ne sont pas mis à jour pendant de longues périodes de temps, leur probabilité d’exposition est élevée. Les exploits standard contre ces technologies ont été répandus dans la boîte à outils des pirates informatiques et continueront de l’être.»

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de