Posté le avril 27, 2021 à 11:56
DES CHERCHEURS AFFIRMENT QUE DES ACTEURS MALVEILLANTS EXPLOITENT DES VULNÉRABILITÉS DE VPN CONNUES
Plusieurs rapports publiés au cours du week-end ont montré que certains groupes malveillants soutenus par des États exploitent activement des vulnérabilités connues dans les réseaux privés virtuels (VPN). L’utilisation des VPN a augmenté de façon exponentielle pendant le confinement dû au COVID-19, imposé par divers gouvernements pour assurer la sécurité de leurs citoyens.
Cela a coïncidé avec une augmentation des attaques d’États-nations exploitant les vulnérabilités de ces VPN.
Le fournisseur de cybersécurité FireEye a récemment révélé avoir découvert des hackers exploitant les faiblesses des VPN et ciblant des organisations financières et gouvernementales. La société de sécurité a déclaré que la plupart des exploits proviennent de vulnérabilités déjà connues qui ont été mises à jour ou corrigées.
Mais d’après la série d’exploitations, il semble que les organisations n’appliquent pas les mises à jour et les correctifs, ce qui les expose à des attaques.
La CISA (Cybersecurity and Infrastructure Security Agency) a récemment publié un avis. L’agence a fait le point sur l’attaque de la chaîne d’approvisionnement sur la plate-forme SolarWinds Onion.
Selon la CISA, elle a découvert des acteurs malveillants qui tentaient d’explorer une vulnérabilité récente. Le hacker s’est connecté via l’appliance Pulse Secure VPN et a pénétré dans son serveur SolarWinds Orion, installant au passage le logiciel malveillant Supernova.
Bien que SolarWinds ait fourni un correctif pour la vulnérabilité, la CISA a déclaré qu’il n’y en avait pas pour la vulnérabilité de Pulse Secure.
Des vulnérabilités connues exploitées à plusieurs reprises
Récemment, plusieurs unités et agences de cybersécurité ont fait part de leurs préoccupations concernant les vulnérabilités des appareils Pulse Secure VPN.
Au début du mois, un avis conjoint du FBI, de la CISA et de l’Agence nationale de sécurité (NSA) a signalé que des acteurs étatiques russes ont exploité à plusieurs reprises des vulnérabilités connues pour une série d’attaques.
Les attaques ont été découvertes en exploitant les vulnérabilités de Pulse Connect Secure VPN et Fortigate VPN. Ils ont également été repérés en train d’attaquer l’Application Delivery Gateway de Citrix et le FortiGate de Fortinet.
En décembre de l’année dernière, la NSA a également publié un avis indiquant que des acteurs du renseignement russe exploitent des vulnérabilités connues dans VMware Workspace et a demandé aux organisations de mettre en œuvre les correctifs disponibles pour ce bug.
L’avis indique que les acteurs malveillants utilisent les vulnérabilités pour effectuer « un balayage et une exploitation à grande échelle des systèmes vulnérables ».
Les agences américaines ont été très actives dans la chasse aux hackers, en particulier aux acteurs parrainés par l’État qui sont plus sophistiqués pour provoquer une violation grave de données.
La plupart des vulnérabilités ont été corrigées il y a plusieurs mois
Les hackers utilisent plusieurs techniques, notamment la falsification des informations d’identification sur le Web, l’exploitation de logiciels pour l’accès aux informations d’identification, l’utilisation de comptes valides, la compromission des chaînes d’approvisionnement, l’exploitation d’un service à distance externe et l’exploitation d’applications orientées vers le public.
L’avis met en évidence cinq vulnérabilités, à savoir CVE-2019-19781, CVE-2019-11510, CVE-2018-13379, CVE-2020-4006 et CVE-2019-9670.
La plupart d’entre eux sont exposés depuis deux ans. Même avec les correctifs disponibles depuis plus de plusieurs mois, certaines organisations ont refusé d’utiliser le patch. Par conséquent, les acteurs malveillants exploitent constamment les vulnérabilités pour cibler ces organisations. Des avis précédents ont averti ces organisations de mettre à jour le plus rapidement possible pour éviter d’être victimes d’activités d’exploitation.
La vulnérabilité CVE-2018-13379 a reçu un score de 9,8 après avoir été résolue en mai 2019. Si les acteurs malveillants exploitent la vulnérabilité, elle permettra de télécharger des fichiers système à distance.
Les organisations ne surveillent pas les révélations de vulnérabilités
Les produits d’accès à distance sécurisés sont un problème commun qui peut être à l’origine des vulnérabilités. Selon Scot Caveza, responsable de l’ingénierie de recherche chez Tenable, la lenteur des correctifs peut être due à l’importance des produits au sein d’une organisation.
« Pour quelque chose d’essentiel comme un dispositif VPN, le temps d’arrêt pour l’application des correctifs pourrait perturber considérablement la productivité », a déclaré Caveza.
Il ajoute que le dispositif VPN SSL peut être considéré comme un « logiciel critique » qui ne dispose d’aucune option de sauvegarde.
Il a également déclaré que plusieurs organisations ne surveillent probablement pas régulièrement les divulgations de vulnérabilité des fournisseurs ou n’effectuent pas d’analyses de vulnérabilité de routine.
Ces problèmes peuvent conduire l’organisation à prendre du retard dans la découverte de la disponibilité des correctifs. Et ce qui caractérise les acteurs malveillants, c’est qu’ils continuent à exploiter les vulnérabilités en ciblant ceux qui n’ont pas mis en œuvre le correctif, a réitéré Caveza.
Les chercheurs en sécurité ont également souligné que le secteur public compte désormais un nombre accru de vulnérabilités, ce qui n’était pas le cas par le passé. Ils ont également déclaré que la plupart des organisations laissent beaucoup à désirer lorsqu’il s’agit de gérer et de suivre leurs performances en matière de sécurité. Par conséquent, les acteurs malveillants sont toujours à la recherche de failles à exploiter et à lancer des attaques sur leurs systèmes.
