Posté le novembre 20, 2022 à 7:52
DES HACKERS IRANIENS ATTAQUENT LE CONTRÔLEUR DE DOMAINE D’UN RÉSEAU FÉDÉRAL AMÉRICAIN GRÂCE À DES FAILLES LOG4SHELL
La CISA et le FBI ont révélé, dans une déclaration commune, qu’un groupe de hackers parrainé par l’Iran a infiltré l’organisation Federal Civilian Executive Branch (FCEB) pour y implanter le logiciel malveillant de cryptomining XMRig.
Les auteurs de la menace ont eu accès au réseau fédéral après avoir piraté un serveur VMware Horizon non corrigé. Ils ont ciblé la vulnérabilité d’exécution de code à distance Log4shell, appelée CVE-2021-44228.
Les hackers ont mis en place des proxys inverses sur les serveurs exposés
Le communiqué indique que les acteurs de la menace parrainés par l’Iran ont mis en place des proxys inverses sur les serveurs concernés après avoir installé le mineur de cryptomonnaie. Les proxys ont été disposés sur les serveurs affectés pour maintenir la persistance dans le réseau.
Les deux agences Américaines ont déclaré que les organisations qui n’ont pas encore appliqué de correctif à leurs systèmes VMware contre Log4Shell doivent partir du principe qu’ils ont été compromis. Elles doivent commencer à rechercher les activités malveillantes au sein de leurs réseaux dès que possible pour éviter une exposition et un impact étendus.
Au début du mois de juin, la CISA a prévenu que les serveurs UAG (Unified Access Gateway) et VMware étaient toujours attaqués par de multiples acteurs de la menace. Des groupes de hackers soutenus par l’État et utilisant des exploits Log4Shell faisaient également partie des attaquants.
Log4Shell est une vulnérabilité zero day dans un cadre de journalisation Java connu sous le nom de Log4j, qui conduit à l’exécution de code arbitraire. La vulnérabilité, une fois exploitée, a un impact sur VMware Horizon et un large éventail d’autres produits.
Log4shell peut être exploité à distance pour cibler des serveurs vulnérables qui ont été exposés à un accès Internet. Les hackers peuvent exploiter cette vulnérabilité pour accéder aux systèmes internes qui stockent des données importantes.
Les hackers ciblaient des systèmes non corrigés
Une autre divulgation a eu lieu en décembre de l’année dernière, lorsque des hackers ont été découverts profitant de la faille Log4Shell. Après cette divulgation, plusieurs acteurs de la menace ont commencé à scanner et à exploiter les systèmes qui n’avaient pas encore été corrigés. La liste des acteurs de la menace comprend des hackers soutenus par des États de Corée du Nord, d’Iran et de Chine, ainsi que de Turquie. Elle comprend également des courtiers en accès qui ont des liens étroits avec certains groupes de ransomware.
Les divulgations de vulnérabilités sont censées alerter les propriétaires de systèmes et de serveurs pour qu’ils corrigent leurs systèmes afin d’éviter d’être exploités. Mais à plusieurs reprises, toutes les organisations n’ont pas été en mesure de patcher leurs systèmes et de les mettre à jour avant que les acteurs de la menace ne commencent à se régaler des systèmes vulnérables.
Le CISA a conseillé aux organisations qui n’ont pas appliqué de correctifs à leurs systèmes de procéder à une vérification approfondie de ces derniers afin d’éliminer tout logiciel malveillant se cachant dans leur réseau.
En janvier, après que la vulnérabilité a été corrigée, VMware a exhorté ses clients à sécuriser leurs serveurs VMware Horizon contre les tentatives des acteurs de la menace qui voudraient exploiter la vulnérabilité.
Outre les hackers parrainés par l’Iran, des hackers Chinois ont également ciblé les serveurs VMware Horizon exposés à Internet. Dans certains cas de piratage signalés par les chercheurs, les hackers de nationalité Chinoise ont déployé le ransomware Night Sky et des portes dérobées. De même, le groupe de hackers TunnelVision, aligné sur l’Iran, ainsi que l’APT Lazarus de la Corée du Nord ont déployé leurs arsenaux d’attaque.
Les organisations doivent appliquer des mesures défensives
Dans un récent avis, le FBI et la CISA ont vivement conseillé aux organisations d’appliquer les mesures défensives et d’atténuation recommandées afin de rester protégées contre l’assaut des acteurs de la menace.
Ces conseils comprennent :
Valider et tester les programmes de sécurité de leurs organisations par rapport aux comportements des attaquants, tels que contenus dans le cadre ATT&CK for Enterprise de MITRE dans la CSA.
Ils doivent également mettre à jour les systèmes VMware Horizon et les passerelles d’accès unifié (UAG) concernés dans la dernière version.
En outre, les organisations doivent essayer de réduire leur surface d’attaque sur Internet. Elles doivent éviter autant que possible d’exposer leurs systèmes à Internet pour les tenir à l’écart des acteurs de la menace.
Les organisations doivent aussi s’efforcer de tester leurs contrôles de sécurité réseau existants contre les techniques ATT&CK décrites dans l’avis. Si les organisations testent constamment la sécurité de leur réseau contre ce type d’attaques, elles seront bien équipées pour faire face à toute situation provenant des acteurs de la menace.
L’année dernière, la CISA a averti que la faille Log4Shell était susceptible d’affecter des centaines de millions d’appareils. L’évolution récente ne fait que prouver que les acteurs de la menace sont conscients du potentiel des exploitations à partir de systèmes qui ne sont toujours pas corrigés.
Si plusieurs organisations ont agi rapidement pour atténuer la vulnérabilité, les acteurs de la menace ont également agi rapidement pour pénétrer dans les systèmes de ceux qui n’ont pas pu appliquer de correctif.
Il est également possible que les hackers Iraniens aient lancé une attaque contre le Merit Systems Protection Board. L’avis a montré la nécessité de prendre des mesures plus sérieuses contre la menace que représente la vulnérabilité.
