Les fournisseurs de cloud computing utilisent toujours secrètement des intergiciels,
selon Wiz Research

Les chercheurs de Wiz, qui ont découvert une série de quatre failles dans l'agent Open Management Infrastructure (OMI) d'Azure, baptisé OMIGOD, ont présenté des informations connexes à la conférence RSA : presque tous les fournisseurs de services cloud installent des logiciels similaires « sans que les clients en soient conscients ou sans leur consentement explicite ».

Dans un billet de blog accompagnant la présentation, Nir Ohfeld et Shir Tamari de Wiz expliquent que les agents sont des intergiciels qui font le lien entre les VM des clients et les autres services gérés du fournisseur. Les agents sont nécessaires pour activer les fonctions avancées des VM, telles que la collecte des journaux, la mise à jour automatique et la synchronisation des configurations, mais ils ajoutent également de nouvelles surfaces d'attaque potentielles contre lesquelles il est impossible de se défendre, car les clients n'en ont pas connaissance.

Nom : interG.png
Affichages : 2125
Taille : 100,5 Ko

Dans le cas d'OMIGOD, il s'agissait d'un bogue avec un score CVSS de 9,8/10 qui permettait à un attaquant d'accéder à la racine et d'exécuter du code à distance. Microsoft a corrigé les vulnérabilités, mais la plupart ont dû être appliquées manuellement. Il pouvait être exploité pour prendre le contrôle administratif d'une machine vulnérable sur le réseau, sans authentification ni autre vérification.

« Cette vulnérabilité ne nécessite aucune interaction ou privilège de la part de l'utilisateur, de sorte qu'un attaquant peut exécuter son code sur un système affecté simplement en envoyant un message spécialement conçu à un système affecté, avait averti Dustin Childs, de Zero-Day Initiative. Les utilisateurs d'OMI devraient tester et déployer celle-ci rapidement ».

Pour s'attaquer immédiatement au risque croissant des intergiciels de cloud computing, Wiz a lancé une page GitHub gérée par la communauté pour cartographier tous les agents que les fournisseurs de cloud computing installent sur les machines des clients, ainsi que la surface d'attaque supplémentaire qu'ils introduisent. « Il est probable, sur la base de notre enquête, qu'il existe davantage d'agents dont les chercheurs en sécurité et les clients du cloud ne sont pas conscients », ont déclaré Ohfeld et Tamari.

Voici, ci-dessous, quelques-uns de ces agents qui sont installés discrètement selon Wiz :

  • Daemon des comptes Google, fournisseur de cloud : Google Cloud Platform ;
  • Agent OSConfig de Google, fournisseur de cloud : Google Cloud Platform ;
  • Agent invité Google, fournisseur de cloud : Google Cloud Platform ;
  • Open Management Infrastructure (OMI), fournisseur de cloud : Azure ;
  • Agent invité Microsoft Azure (WALinuxAgent), fournisseur de cloud : Azure ;
  • Suite de gestion des opérations (OMS), fournisseur de cloud : Azure ;
  • Agent de gestion des systèmes AWS (agent SSM), fournisseur de cloud : AWS ;
  • Pilotes PV AWS, fournisseur de cloud : AWS ;
  • Agent de conteneur AWS ECS, fournisseur de cloud : AWS.

Les résultats de l'enquête menée par Trend Micro indiquent que, lorsqu'il s'agit pour les organisations de comprendre leurs surfaces d'attaque, la plupart ne le font pas. En tout, 73 % des 6 297 décideurs informatiques et commerciaux interrogés se sont dits préoccupés par la croissance de leur surface de vulnérabilité aux attaques, que seuls 51 % ont déclaré pouvoir définir entièrement.

Un peu plus d'un tiers des personnes interrogées ont déclaré que leur infrastructure de sécurité était désordonnée et en constante évolution, tandis que 43 % ont admis que leur surface d'attaque était « hors de contrôle », selon Trend Micro. Les environnements de cloud computing ont été cités comme étant les plus opaques, et comme la plupart des fournisseurs installent des intergiciels secrets, il est facile de comprendre pourquoi.

Bharat Mistry, directeur technique chez Trend Micro, a déclaré que la modernisation rapide de l'informatique au début de la pandémie de COVID-19 explique en grande partie les problèmes actuels de visibilité de la surface d'attaque. « Dans de nombreux cas, les mises à niveau informatiques ont involontairement élargi la surface d'attaque numérique, offrant aux acteurs de la menace davantage de possibilités de compromettre des actifs clés », a-t-il déclaré.

L'étude donne également une série de raisons expliquant pourquoi la visibilité ne s'est pas améliorée, comme les chaînes d'approvisionnement opaques, les services informatiques parallèles, les employés à distance et les changements techniques constants dans les produits des fournisseurs, entre autres. Des groupes du secteur privé et des groupes de défense de la cybernétique a publié mardi une déclaration commune préconisant « une collaboration accrue entre le secteur public et le secteur privé pour améliorer l'état de préparation de la nation en matière de cybersécurité ».

Ils publient une déclaration commune appelant à une collaboration accrue entre le secteur public et le secteur privé afin d'améliorer l'état de préparation de la nation en matière de cybersécurité. Le secrétaire Chertoff, membre du comité directeur du Multilateral Cyber Action Committee (MCAC), l'organisation qui a dirigé la coordination de cette déclaration a indiqué :

« Le MCAC est un comité mondial qui se concentre sur l'amélioration de la cybersécurité pour un internet sûr et ouvert et qui souhaite poursuivre un partenariat public-privé approfondi. Aux États-Unis, nous pensons que la déclaration commune souligne les succès actuels du Joint Cyber Defense Collaborative, ainsi que son besoin de continuer à croître et à évoluer. Nous sommes déterminés à faire en sorte que cela se produise ».

Un engagement efficace nécessite la collaboration et le leadership des secteurs privé et public pour faire face à des problèmes tels que l'attaque de la chaîne d'approvisionnement de Solar Winds, les vulnérabilités de log4J, les cybercriminels de rançongiciel et les menaces de la Russie et d'autres acteurs malveillants d'État-nation. Les signataires cherchent à s'appuyer sur les initiatives existantes pour approfondir le partenariat public-privé. Mark Montgomery, directeur exécutif de la

Commission Solarium 2.0 pour le cyberespace, a déclaré : « La Commission Solarium a toujours affirmé qu'une dissuasion efficace dans le cyberespace est un tabouret à trois pattes, reposant sur des investissements dans des capacités défensives, des investissements dans des capacités d'imposition des coûts et, ce qui est le plus difficile, la mise en place d'une collaboration public-privé pour défendre nos infrastructures critiques. Nous préconisons de relever ce défi précis en matière de sécurité nationale grâce à ces cinq initiatives ».

Le groupe d'organisations s'est engagé à améliorer la coopération entre les secteurs publics et privés et cherche activement à inciter les partenaires du gouvernement américain à proposer des idées et des initiatives pour renforcer la cyber-résilience nationale. Elles cherchent à aider les secteurs public et privé à accroître l'impact des efforts de collaboration tels que le Joint Cyber Defense Collaborative (JCDC), entre autres, en combinant la sensibilisation, le renforcement des capacités et la mise à l'échelle. Le général Joseph L. Votel, USA (retraité), président et directeur général de Business Executives for National Security, déclare :

« Jamais la collaboration entre les secteurs privé et public n'a été aussi essentielle à la défense des intérêts américains dans le cyberespace. Seule une intégration totale des meilleures technologies, des meilleurs talents et des meilleurs processus des entreprises, du gouvernement et de l'armée peut repousser avec succès l'assaut constant de nos adversaires. »

« Les recommandations que préconise le MCAC sont fortement alignées sur la mission de la Coalition for Midmarket Cyber Excellence (CMCE). Les entreprises du Midmarket aux prises avec la cybersécurité sont sous-représentées dans le paysage gouvernemental et dans les débats politiques. L'expansion de la collaboration existante entre le secteur public et le secteur privé est une étape importante pour aider à assurer la sécurité des entreprises du marché intermédiaire qui sont cruciales pour les infrastructures critiques de la nation », a déclaré Emily Coyle, directrice exécutive de la Coalition for Midmarket Cyber Excellence.

Sources : Wiz (1, 2), MCAC

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

La France choisit Google et Microsoft pour la protection des données sensibles, Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté la stratégie nationale pour le cloud

Microsoft révise ses politiques en matière de licences logicielles et de cloud computing dans le contexte de l'examen des autorités européennes et a la suite d'une plainte OVHcloud et Nextcloud

AMD et Microsoft poursuivent leur collaboration dans le cloud avec l'adoption des accélérateurs AMD Instinct MI200, pour la formation de l'IA à grande échelle dans Microsoft Azure

La startup Lonestar annonce son projet d'enterrer une ferme de serveurs sur la Lune, pour y sauvegarder la mémoire de l'humanité qui serait moins en sécurité sur Terre