L’attaque subit par LastPass a fait beaucoup de bruit, pourtant rien n’aurait dû se produire. La vulnérabilité exploitée pour exfiltrer les données était connue et corrigée depuis mai 2020. Presque 3 ans…
« La cause de la première violation de données de LastPass était un ordinateur personnel utilisant une version obsolète de Plex contenant une vulnérabilité découverete et signalée par Tenable et corrigée par Plex en mai 2020, rappelle Scott Caveza, senior research manager chez Tenable. La fuite de données de LastPass aurait donc pu être totalement évitée ! ». La vulnérabilité en question, CVE-2020-5741, est une faille de désérialisation qui peut être exploitée pour s’authentifier et exécuter du code arbitraire avec les mêmes privilèges que le serveur média. Pour le manager, la fuite de données massive de LastPass est la parfaite illustration de l’impact catastrophique que peuvent avoir des vulnérabilités connues et corrigées.
Les vulnérabilités connues plus dangereuses que les 0 Days
Dans son rapport 2022 Tenable Threat Landscape Report, publié la semaine dernière, l’éditeur fait en effet ressortir que les vulnérabilités connues sont plus dangereuses et plus préjudiciables pour la sécurité que les zero days. « Nous avons constaté à maintes reprises que les cybercriminels et les États-nations exploitent régulièrement des vulnérabilités connues avec des correctifs disponibles pour obtenir un accès initial aux organisations et pour élever les privilèges une fois à l’intérieur. La découverte et la correction des vulnérabilités connues et exploitées qui représentent le plus grand risque pour une organisation restent le moyen le plus efficace de limiter les risques.« , conclut Scott Caveza.
