Protéger les Clouds publics des vulnérabilités courantes

Contrairement à ce que l’on pense, les Clouds publics ne sont pas hautement sécurisés par nature et c’est pourquoi ils doivent être mieux protégés.

Beaucoup d’entreprises utilisent un environnement informatique Cloud qui fait appel à une combinaison de services en Cloud privé sur site et en Cloud public. Pourtant, lorsqu’il s’agit de la cybersécurité, les entreprises ont tendance à se concentrer sur la protection des environnements physiques et virtuels, et délaissent la partie de l’infrastructure qui est basée dans les Clouds publics. Certaines entreprises sont convaincues que les fournisseurs de services Cloud s’occupent de leur protection, alors que d’autres pensent que les Clouds publics sont sécurisés par nature et n’ont donc pas besoin d’être protégés. Ces deux idées sont erronées : les Clouds publics sont aussi vulnérables que le reste de votre infrastructure en matière d’exploitation de vulnérabilités des programmes, de mise à jour de l’empoisonnement, d’exploitation de la connexion réseau et de la mise en danger des informations des comptes. Nous vous expliquons pourquoi.

Vulnérabilités de RDP et SSH

Le RDP est activé par défaut dans les outils Amazon mais l’authentification à deux facteurs n’est pas disponible par nature. Différents outils ont pris le RDP pour cible lors d’attaques par force brute. Certains se concentrent sur les noms d’utilisateur par défaut les plus courants (comme  » Administrateur « ) et essaient des milliers de combinaisons pour découvrir le mot de passe. D’autres utilisent les noms de famille et les mots de passe les plus courants pour deviner l’identifiant unique de l’administrateur. Les algorithmes de force brute peuvent limiter et randomiser le nombre de tentatives, en établissant un temps mort entre chaque essai pour éviter d’être détecté automatiquement. Une autre méthode consiste à réaliser une attaque par force brute pour obtenir le mot de passe du nom d’utilisateur SSM qui est souvent programmé dans les infrastructures AWS.

D’autres attaques similaires par force brute s’en prennent constamment aux services SSH, alors que SSH est équipé d’une meilleure protection que le RDP (avec notamment l’authentification à deux facteurs). Un service mal configuré peut facilement permettre à un acteur malveillant et persistant d’obtenir l’accès. Les attaques par force brute qui s’en prennent à SSH ou au RDP représentent 12 % des attaques qui sont tombées dans les pièges de l’IoT de Kaspersky au cours du premier semestre de 2019.

Vulnérabilités de logiciels tiers

Les Clouds publics peuvent bel et bien vous rendre vulnérable. Voici quelques exemples qui expliquent comment la vulnérabilité d’un logiciel tiers permet aux cybercriminels d’exécuter le code directement dans l’infrastructure.

Le 3 juin 2019, on découvrait une vulnérabilité dans Exim, un serveur e-mail populaire et souvent utilisé sur les Clouds publics. Cette vulnérabilité permettait d’exécuter le code à distance. Si le serveur était lancé en tant qu’utilisateur root, comme c’est souvent le cas, alors le code malveillant introduit dans le serveur pouvait être exécuté avec des privilèges root. Une autre vulnérabilité a été détectée dans Exim en juillet 2019 ; celle-ci permettait aussi d’exécuter des codes à distance en root.

Un autre exemple est le piratage du site officiel de Linux Mint en 2016. Par conséquent, les distributions Linux ont été modifiées pour inclure le logiciel malveillant et ajouter une porte dérobée IRC équipée de la fonction DDoS. Les cybercriminels pouvaient se servir de ce logiciel malveillant pour laisser des charges malveillantes dans les dispositifs infectés. D’autres utilisateurs ont signalé des cas qui impliquaient l’utilisation de modules malveillants node.js, des contenants infectés dans Docker Hub, et bien d’autres.

Comment réduire les risques

Les cybercriminels peuvent être très imaginatifs lorsqu’il s’agit de trouver des points d’entrée leur permettant d’accéder aux infrastructures ; surtout lorsque ces infrastructures sont si nombreuses, et pourtant si similaires, et qu’elles rencontrent les mêmes problèmes, pendant que nous croyons tout simplement qu’elles sont hautement sécurisées par nature. Nous vous conseillons de protéger les systèmes d’exploitation de vos services Cloud et machines virtuelles pour réduire les risques et les gérer plus efficacement. Il est évident que les antivirus de base et les solutions de protection antimalware ne sont pas suffisants. Selon les pratiques exemplaires de ce secteur, chaque système d’exploitation qui appartient à une infrastructure doit avoir une protection complète multicouche, et les fournisseurs de Clouds publics donnent les mêmes conseils.

C’est à ce moment-là qu’une solution de sécurité comme Kaspersky Hybrid Cloud Security entre en jeu. Notre solution protège les différents types de charges de travail qui s’exécutent sur les plateformes grâce à plusieurs couches de technologies de sécurité y compris le renforcement du système, la prévention des exploits, la surveillance de l’intégrité des fichiers, un outil qui bloque les attaques réseau, un antimalware statique et comportemental, et bien d’autres. Vous pouvez obtenir plus de renseignements sur notre solution en cliquant ici.

Conseils