Cloud Platform
Contact us
Asset Management
Vulnerability & Configuration Management
Risk Remediation
Threat Detection & Response
  • Overview
  • Platform Apps

  • Qualys Endpoint Security

    Advanced endpoint threat protection, improved threat context, and alert prioritization

  • Context XDR

    Extend detection and response beyond the endpoint to the enterprise

Compliance
Cloud Security

Qualys décroche 2 récompenses Pwnie pour le « Meilleur Bug d'élévation de privilèges » et la « Recherche la plus sous-cotée »

Ces récompenses soulignent toute la valeur que l’équipe de chercheurs Qualys offre à la communauté de la cybersécurité dans son ensemble

FOSTER CITY, Californie Le 05 août , 2021 - Qualys, Inc. (NASDAQ : QLYS), le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que sa célèbre équipe de chercheurs s’est vue décerner deux récompenses Pwnie lors de la conférence Black Hat USA 2021 pour le Meilleur Bug d’élévation de privilèges pour la CVE-2021-3156 : débordement de tas dans Sudo (Baron Samedit) et pour la Recherche la plus sous-cotée pour 21Nails. Ces prix récompensent l’équipe pour ses travaux de recherche de pointe et de découverte et pour sa divulgation responsable de vulnérabilités nouvelles et critiques au sein d’applications logicielles de premier ordre.

Dans un monde où les acteurs malveillants se professionnalisent de plus en plus au point de découvrir et d’exploiter presque chaque semaine de nouvelles vulnérabilités dans des programmes largement utilisés, les équipes de recherche répondent à un besoin absolument vital en protégeant l’infrastructure IT et les données critiques. Qualys donne à son équipe chercheurs les moyens d’effectuer un travail de recherche de pointe et d’identifier les vulnérabilités au sein d’applications de premier ordre avant que les attaquants ne les trouvent et ne les exploitent de manière malveillante.

Les divulgations critiques à l’origine des récompenses sont :

Meilleur Bug d’élévation de privilèges : Le débordement de tas (Heap overflow) dans Sudo (Baron Samedit) est une vulnérabilité par débordement d’un tampon alloué dans le tas (mémoire allouée dynamiquement lors de l’exécution d’un programme) qui a été découverte dans Sudo, un programme Unix omniprésent et qui est exploitable par un quelconque utilisateur local et sans authentification.

Recherche la plus sous-cotée : Les 21 vulnérabilités (21Nails) critiques découvertes dans le serveur de messagerie Exim peuvent, lorsqu’elles sont associées, permettre à un attaquant distant non authentifié d’exécuter du code arbitraire et d’obtenir des privilèges root sur les serveurs de mails Exim avec des configurations par défaut ou courantes.

La découverte de ces vulnérabilités est due à des audits du code source extrêmement poussés de chacune de ces applications sur une durée de plusieurs mois. Ces vulnérabilités étaient extrêmement difficiles à découvrir et, dans certains cas, hautement inexploitables. Cependant, l’équipe de chercheurs Qualys a pu prouver que ces vulnérabilités étaient en fait exploitables et fournir des correctifs pour ces dernières. En parallèle, Qualys a été en mesure de démontrer que ces vulnérabilités étaient cachées dans le code base pendant des décennies, ce qui a renforcé le niveau d’importance accordées à ces divulgations.
« Jour après jour, les cybercriminels lancent des attaques sophistiquées afin de découvrir les actifs qui se connectent à votre environnement et d’exploiter votre surface d’attaque toujours plus importante. Protéger contre de telles attaques est la mission de l’équipe de chercheurs Qualys, » déclare Mehul Revankar, vice-président du développement des produits VMDR chez Qualys. « Dans le cadre de notre processus de recherche, nous enquêtons chaque jour sur des vulnérabilités tapies dans des logiciels et susceptibles de déclencher un compromis et que nous divulguons de manière responsable aux éditeurs. Le but est de permettre à ces derniers de les résoudre rapidement et que nos clients et toutes les structures concernées puissent atténuer les menaces et également prioriser et mettre en place une réponse efficace. »
« La recherche en sécurité est notre ADN. Qualys reconnaît l’importance critique de cette initiative et privilégie d’effectuer des recherches pour découvrir les vulnérabilités avant les attaquants, » déclare Sumedh Thakar, président et CEO de Qualys. « Nous sommes honorés d’avoir reçu cette année cinq nominations pour des récompenses Pwnie et nous sommes ravis d’avoir décroché une récompense dans les catégories Meilleur Bug d’élévation de privilèges et Recherche la plus sous-cotée. »

À propos des récompenses Pwnie 2021
Les récompenses Pwnie Awards sont un événement annuel qui célèbre les travaux des chercheurs en sécurité et de la communauté de la sécurité. Les nominations sont attribuées à la communauté de la sécurité au sens large avec un panel de chercheurs en sécurité qui a passé en revue les Nominations Actives et annoncé les gagnants dans chaque catégorie pour l’édition 2021 de la conférence Black Hat USA.

À propos de l’équipe de chercheurs Qualys
L’équipe de chercheurs Qualys s’investit dans une recherche des vulnérabilités innovante pour aider les entreprises à découvrir et à remédier des vulnérabilités critiques sur leur infrastructure numérique. Par ailleurs, Qualys propose plusieurs postes au sein de son équipe de recherche. Si vous êtes chercheur en sécurité en quête de nouvelles opportunités, nous vous invitons à candidater à des postes en science ouverte et d’ingénieur à travers le monde.

Ressources supplémentaires
• Pour en savoir plus sur les travaux de l’équipe de chercheurs Qualys, rendez-vous sur qualys.com/research/security-advisories
• Lisez l’article de blog sur les prix Pwnie Award 2021 décrochés par Qualys
• Suivez Qualys sur LinkedIn et Twitter

À propos de Qualys
Qualys, Inc. (NASDAQ :QLYS) est le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, avec plus de 19 000 clients dans plus de 130 pays, dont une majorité des sociétés présentes aux classements Fortune 100 et Forbes Global 100. Qualys aide les entreprises à rationaliser et fédérer leurs opérations de sécurité et de conformité au sein d’une seule et même plateforme, et à intégrer la sécurité à leur transformation numérique pour leur garantir davantage de souplesse, une activité plus dynamique et des économies substantielles.

Qualys Cloud Platform et ses applications Cloud intégrées fournissent en permanence un service de renseignement sur la sécurité aux entreprises afin qu’elles puissent automatiser le spectre complet de l’audit, de la conformité et de la protection des systèmes d’information et des applications Web déployés sur site, sur les points d’extrémités et dans les clouds élastiques. Fondée en 1999 et l’un des premiers fournisseurs de services dans le Cloud, Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance et des cabinets de conseil de premier ordre, notamment Accenture, BT, Cognizant Technology Solutions, Deutsche Telekom, DXC Technology, Fujitsu, HCL Technologies, HP Enterprise, IBM, Infosys, NTT, Optiv, SecureWorks, Tata Communications, Verizon et Wipro.

Qualys est également l’un des fondateurs de la Cloud Security Alliance (CSA).

Pour plus d’informations, rendez-vous sur www.qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com