Posté le novembre 6, 2020 à 15:58
DES FAILLES DE VOIP NON CORRIGÉES ENTRAÎNENT UNE VAGUE MASSIVE D’ATTAQUES DE PIRATAGE
Les chercheurs en sécurité ont découvert que plus de 1 200 entreprises dans le monde entier ont été compromises en raison d’une faille de VoIP non corrigée, les hackers ayant commencé à accéder à leurs systèmes sans aucune authentification.
Au cours de l’année dernière, les comptes de plus de 1 200 entreprises ont été compromis en raison des failles de protocole de téléphonie sur IP (VoIP) qui n’ont pas été corrigées. Les entreprises visées sont réparties dans le monde entier, et les hackers se sont donné pour objectif de gagner de l’argent en détournant et en vendant ces comptes.
Les attaques de piratage dans le monde des affaires ne sont pas nouvelles. En fait, elles se produisent pratiquement tous les jours. Cependant, l’efficacité de cette campagne est plutôt intéressante.
Le principal objectif des attaquants semble être d’appeler des numéros premiums que les hackers possèdent eux-mêmes, ou de vendre des numéros de téléphone et divers plans d’appel que d’autres personnes peuvent utiliser gratuitement. Toutefois, si cela semble être le but premier, il convient également de noter que la faille de VoIP qui a permis aux hackers de le faire, pourrait également conduire les criminels en ligne à un certain nombre d’autres formes d’attaques.
Avec l’accès aux systèmes VoIP, il leur serait relativement facile d’écouter des appels privés, d’utiliser les systèmes pour d’autres campagnes plus intrusives, ou même de miner des cryptomonnaies.
Que sait-on de la campagne ?
Les chercheurs en cybersécurité de Check Point ont constaté qu’un groupe de hackers a réussi à compromettre les réseaux VoIP de pas moins de 1 200 entreprises et organisations.
Les entreprises touchées sont situées dans plus de 20 pays différents à travers le monde, bien qu’il semble que plus de la moitié des victimes se trouvent au Royaume-Uni. Toutes les entreprises semblent avoir été victimes de l’exploitation de cette même vulnérabilité.
Les hackers ne se sont pas non plus concentrés sur un secteur particulier. Ils ont ciblé les assurances, la finance, l’armée, le gouvernement, l’industrie manufacturière, etc.
Bien que le Royaume-Uni ait subi le plus grand nombre d’attaques, de nombreuses autres nations dont les organisations ont été touchées, notamment les États-Unis, la Colombie, la Belgique, les Pays-Bas et l’Allemagne, entre autres.
La vulnérabilité en question est connue sous le nom de CVE-2019-19006, et elle est considérée comme une faille critique des systèmes téléphoniques VoIP Sangoma et Asterisk. En l’exploitant, n’importe qui pourrait accéder à ces systèmes à distance, sans avoir à se soucier de l’authentification de quelque forme que ce soit.
Heureusement, il existe un correctif de sécurité pour cette faille — il a été publié en 2019. Mais, comme c’est souvent le cas, de nombreuses organisations et entreprises dans le monde n’ont pas appliqué ce correctif, ce qui les a rendues vulnérables.
En gros, si un hacker utilisait la faille, il pourrait non seulement contourner l’authentification, mais aussi recevoir un accès d’administrateur au système et à toutes ses fonctions.
Que pourraient faire les hackers avec ce type d’accès ?
Les chercheurs ont également examiné comment les hackers ont tendance à exploiter les systèmes piratés. Beaucoup passent des appels sortants en ignorant le système VoIP. Cela permet aux hackers de composer eux-mêmes les numéros premiums qu’ils ont mis en place. De cette façon, ils peuvent générer de l’argent, tandis que l’organisation compromise finit par payer la facture.
Beaucoup pourraient penser qu’il ne faut pas trop de temps aux entreprises pour se rendre compte que quelque chose ne va pas et que les serveurs sont exploités. Cependant, les grandes entreprises ont déjà tellement d’appels téléphoniques légitimes que ces exploits finissent tout simplement par se cacher parmi elles.
Une autre façon pour les hackers de gagner de l’argent en exploitant les systèmes est de vendre l’accès à ces derniers à d’autres personnes qui pourraient être intéressées à les utiliser à leurs propres fins. Cela pourrait conduire à un certain nombre d’autres attaques de piratage qui pourraient être beaucoup plus dangereuses. L’écoute clandestine et le minage de cryptomonnaies ne sont que quelques-unes des activités vers lesquelles les hackers pourraient se tourner avec ce type d’accès, si seulement ils le voulaient.
Sans parler du fait que les hackers pourraient utiliser des systèmes compromis pour pénétrer plus profondément dans les réseaux des entreprises, et finir par voler des informations d’identification, utiliser des logiciels malveillants, etc. Cependant, les chercheurs ont noté que cela peut dépendre de différents facteurs, tels que la configuration du système, et la façon dont le système est connecté au reste du réseau.
Que peuvent faire les entreprises ?
Pour l’instant, les chercheurs recommandent aux entreprises de changer tous les noms d’utilisateur et mots de passe par défaut de leurs appareils. Cela les rendrait difficiles à exploiter. En outre, les entreprises devraient analyser régulièrement leurs factures d’appel et rechercher toute activité suspecte.
En cas de volumes de trafic élevés, de schémas inhabituels ou de dons suspects, il est possible que leurs systèmes aient été compromis.
Et il va sans dire que les entreprises doivent commencer à appliquer des correctifs pour les vulnérabilités nouvellement découvertes dès que ces correctifs sont disponibles.
