Posté le octobre 21, 2020 à 18:06
DE NOMBREUSES ATTAQUES DDOS VISENT LES SERVEURS MDM D’ENTREPRISE MOBILEIRON
Un chercheur en sécurité a découvert trois failles importantes dans les serveurs MDM de MobileIron, et bien que les correctifs soient sortis, beaucoup d’entreprises ne les ont pas appliqués, ce qui les rend vulnérables aux attaques de piratage.
Il y a environ un mois, un chercheur en sécurité connu sous le nom d’Orange Tsai a découvert trois failles critiques dans les serveurs MDM (Mobile Device Management) créés par MobileIron. Aujourd’hui, les serveurs sont fortement visés par des attaques DDoS de la part de multiples acteurs malveillants qui exploitent les vulnérabilités pour s’emparer des serveurs d’entreprise et même s’introduire dans les réseaux d’entreprise.
Les serveurs en question sont utilisés par les entreprises pour gérer les appareils mobiles de leurs travailleurs. Les administrateurs système ont accès à un certain nombre de fonctions, telles que le déploiement d’applications et de certificats ainsi que des listes de contrôle d’accès. Toutefois, ils ont également la possibilité de supprimer les téléphones du serveur central, en cas de vol.
Malheureusement, pour que les serveurs puissent offrir ces options, ils doivent être constamment connectés à l’internet. Cela les rend également disponibles en permanence pour les hackers qui pourraient mener des attaques.
Les trois failles
Comme mentionné, au début de cette année, au cours de l’été, un chercheur en sécurité a découvert trois failles dans les serveurs MDM. Après que les failles ont été signalées à MobileIron, la société les a rapidement corrigées en juillet.
Tsai n’a pas non plus publié de détails sur les trois failles à l’époque, ni sur les mesures que les mauvais acteurs pouvaient prendre pour accéder aux serveurs. Il voulait donner aux entreprises utilisant les serveurs la possibilité de mettre à jour leurs systèmes et de protéger leurs réseaux et les appareils de leurs employés.
Malheureusement, comme c’est souvent le cas, beaucoup d’utilisateurs de MDM n’ont pas réussi à le faire.
Après avoir estimé que suffisamment de temps s’était écoulé, M. Tsai a publié une version plus détaillée de son rapport, qui a eu lieu en septembre. Cependant, le rapport a eu des conséquences involontaires — d’autres chercheurs ont utilisé son rapport pour créer des exploits de PoC (preuve de concept) pour le plus dangereux des trois f, et ils les ont rendus publics.
Il n’a pas fallu longtemps pour que les entreprises en ressentent les conséquences
L’intention des chercheurs en sécurité qui ont créé les exploits de preuve de concept et les ont publiés sur GitHub était de faciliter la réalisation des tests par d’autres chercheurs.
Cependant, comme de nombreuses entreprises n’ont pas réussi à mettre à jour leurs systèmes, il n’a pas fallu longtemps pour que les hackers commencent à les utiliser également, pour mener de véritables attaques. En quelques jours, les attaques ont commencé à cibler les grandes entreprises, la première vague d’attaques arrivant début octobre.
Ces premières attaques ont été détectées par les chercheurs en sécurité de RiskIQ. Malheureusement, on en sait peu sur elles, car la société n’a pas divulgué beaucoup de détails.
Il y a eu d’autres rapports, cependant, comme celui publié il y a une semaine, le 13 octobre, par BlackArrow. Ce rapport a publié des détails sur des tentatives d’intrusion dans les systèmes de MDM de MobileIron, et d’installation d’un logiciel malveillant DDoS connu sous le nom de Kaiten.
Malheureusement, cela ne s’est pas arrêté là. Plus tôt dans la journée, la NSA (National Security Agency) des États-Unis a annoncé au monde entier que la faille connue sous le nom de CVE-2020-15505 – la plus dangereuse des trois failles découvertes par Tsai – figure parmi les 25 failles les plus exploitées par les hackers chinois soutenus par l’État.
En d’autres termes, il semble que les groupes de hackers soutenus par l’État chinois ont utilisé cette faille (avec d’autres) pour pirater toutes sortes de systèmes connectés à Internet. En prenant pied dans ces systèmes, ils lanceraient alors une attaque sur les réseaux internes des entreprises.
La faille la plus dangereuse de l’année
Avec tout ce qui s’est passé concernant la situation, il est impératif pour toute entreprise qui utilise les solutions MDM de MobileIron de les corriger immédiatement. Ne pas le faire, c’est les exposer à des attaques de piratage qui pourraient entraîner d’importantes complications.
Cependant, étant donné que plus de 20 000 entreprises utilisent MDM, il est probable qu’il en restera beaucoup qui ne tiendront pas compte de l’avertissement une fois de plus.
En conséquence, CVE-2020-15505 pourrait être l’une des vulnérabilités les plus dangereuses de l’année, voire LA plus dangereuse.
Toutefois, les chercheurs avertissent que même les correctifs ne représentent que la moitié du travail à accomplir pour permettre aux entreprises de se protéger. La seconde moitié consiste à effectuer des audits de sécurité des solutions de GDR, mais aussi des réseaux internes, et même des appareils mobiles.
La CVE-2020-15505 n’est qu’une entrée, et on ne sait pas si les hackers l’ont utilisé ou non pour pénétrer dans les systèmes des entreprises sans déclencher d’alarme, pour ensuite laisser quelque chose derrière eux et se retirer. En d’autres termes, quiconque n’a pas appliqué le correctif lors de sa première sortie est maintenant en danger et doit faire un grand nettoyage interne.