ALLER PLUS LOIN Analyser une vulnérabilité

Dans la première partie de notre exploration des CVE et CVSS, nous avons défini leur rôle essentiel dans la gestion des vulnérabilités.

Dans cette deuxième partie, nos experts ont analysé trois vulnérabilités pour démontrer que le score CVSS ne reflète pas toujours précisément la dangerosité d’une vulnérabilité. En effet, l’environnement technique joue un rôle clé dans l’évaluation des risques.

Pourquoi c’est important de bien lire une CVE ?

• Une vulnérabilité sans score CVSS peut être critique.
• Une CVE avec un score élevé n’est pas toujours exploitée de manière simple.
• Une faille avec un score moyen peut être la porte d’entrée à des attaques plus sophistiquées.

Quelle que soit son score, une vulnérabilité nécessite une analyse précise et une attention particulière.

Ci-dessous 3 exemples :

1^er exemple : Une vulnérabilité sans score CVSS

Exemple CVE-2025-26091 – Une attaque XSS dangereuse

Ne vous laissez pas tromper par l’absence de score CVSS ! Certaines vulnérabilités, bien que non notées, peuvent représenter un risque majeur.

Dans ce cas précis, cette faille concerne une attaque de type Cross-Site Scripting (XSS) dans la solution de gestion de mots de passe TeamPasswordManager (v12.162.284 et inférieures). Elle permet aux attaquants d’injecter un script malveillant dans le nom d’un enregistrement de mot de passe, qui s’exécute ensuite sur le navigateur de la victime.

Pourquoi c’est dangereux ?

• Une attaque XSS permet aux pirates de récupérer des informations sensibles, comme les cookies ou les jetons de session, pouvant être réutilisés pour accéder frauduleusement à des sites web.
• Une attaque XSS peut servir à exécuter un malware directement sur l’ordinateur de la victime.
• Cette attaque combinée avec du social engineering peut permettre à un attaquant d’exporter un fichier compromis et de l’envoyer par e-mail à sa cible.

Conclusion

L’absence de score CVSS ne signifie pas une absence de danger. Une évaluation manuelle est indispensable pour mesurer la menace réelle.

2^ème exemple : Une vulnérabilité avec un score CVSS critique (>9)

Exemple : CVE-2024-30170 – Exfiltration de données et DoS

Certaines vulnérabilités reçoivent un score CVSS très élevé, mais leur criticité réelle dépend de leur exploitation.

Dans ce cas concret, la vulnérabilité touche PrivX, une solution de gestion des accès privilégiés (PAM) et permet :

• L’exfiltration de données sensibles
• L’exécution d’attaques par déni de service (DoS) via la fonctionnalité REST API

Pourquoi c’est un enjeu majeur ?

Un PAM est une solution qui permet de sécuriser, gérer et surveiller l’utilisation des comptes à privilèges d’une organisation. Cette solution permet de contrôler les accès des utilisateurs aux ressources critiques internes et d’appliquer des règles strictes d’authentification.

Si un PAM est mal configuré et compte tenu de son exposition sur Internet, il peut devenir une cible pour les attaquants qui chercheront à exploiter la vulnérabilité connue pour compromettre les comptes à privilèges.

Comment limiter les risques ?

Dans ce cas précis, la surface d’attaque peut ainsi être réduite en limitant l’accès au PAM avec un VPN et une solution d’authentification multifacteur (MFA), et/ou en mettant en place une solution telle qu’un Reverse Proxy.

En complément :

• Maintenir la solution dans sa dernière version stable.
• Implémenter l’authentification multifacteur (MFA).
• Surveiller les accès et logs pour détecter toute tentative suspecte.

Conclusion

Même une faille avec un score CVSS critique peut être maîtrisée avec une gestion rigoureuse des accès privilégiés et des mesures de sécurité adaptées.

3ème exemple : Une vulnérabilité de collecte d’informations, un danger sous-estimé

Exemple : “Apache Server-Info Detected” – Une faille d’espionnage discret

Les vulnérabilités de collecte d’informations, bien que non directement offensives, jouent un rôle crucial dans la préparation d’attaques ciblées. Elles permettent aux attaquants de recueillir des données précieuses sur les systèmes en place, facilitant ainsi des attaques ultérieures.

Prenons l’exemple de la faille “Apache Server-Info Detected”, qui possède un score CVSSv3.0 de 5.3 considéré comme moyen. En tant que serveur web très répandu, Apache est souvent exposé sur Internet, ce qui le rend vulnérable aux attaques.

Si cette option est activée sur un serveur Apache, un attaquant peut récupérer une mine d’informations :

• La configuration actuelle du serveur (permettant de trouver des erreurs de configuration que l’attaquant pourra exploiter)
• La version du serveur (permettant de rechercher si la version du service est vulnérable)
• L’heure de construction du serveur
• La racine du serveur
• Le chemin du fichier de configuration httpd.conf du serveur
• Le paramètres de construction du serveur
• Les modules Apache et directives de module (permettant de rechercher si un module utilisé est vulnérable)

Pourquoi c’est un risque ?

Un attaquant peut utiliser ces informations pour :

• Identifier des versions obsolètes et vulnérables.
• Préparer une attaque ciblée sur un module spécifique.
• Trouver des erreurs de configuration exploitables.

Bien que cette vulnérabilité puisse sembler bénigne, elle fournit des informations essentielles aux attaquants pour préparer des attaques plus sophistiquées sur les infrastructures. Il est donc fortement recommandé de désactiver toutes les options qui transmettent des informations sensibles sur vos installations en production.

Conclusion

Un score CVSS moyen ne signifie pas un faible risque. Ces failles permettent aux attaquants de mieux préparer leurs attaques.

En résumé L’importance d’une gestion proactive des vulnérabilités

Notre métier Cybersécurité

Les trois cas analysés montrent que le score CVSS ne suffit pas à évaluer un risque.

Les organisations doivent évaluer chaque vulnérabilité dans le contexte de leur propre environnement pour comprendre pleinement les risques encourus.

À retenir :

• Une vulnérabilité sans score CVSS peut être critique.
• Un score CVSS élevé ne signifie pas une exploitation facile.
• Une faille avec un score moyen peut être une porte d’entrée pour une attaque complexe.

On ne le répétera jamais assez, en cybersécurité, la meilleure défense est une vigilance constante et proactive.

Pour une vision complète du sujet CVE/CVSS, retrouvez la première partie de cet article ici :