Posté le janvier 26, 2021 à 13:35
L’ENTREPRISE INFORMATIQUE SONICWALL CONFIRME L’EXISTENCE DE FAILLES DE SÉCURITÉ ZERO-DAY SUR SON SERVEUR
SonicWall, fournisseur de produits de sécurité Internet pour VPN et pare-feu, a révélé que ses systèmes internes ont subi des attaques coordonnées via des vulnérabilités zero-day.
« Récemment, SonicWall a identifié une attaque organisée sur ses systèmes internes par des acteurs très sophistiqués », a déclaré la société.
Selon SonicWall, les attaquants ont infecté son accès mobile sécurisé (SMA) et ses produits d’accès à distance sécurisé. L’entreprise de la Silicon Valley a déclaré que ces deux produits piratés permettent aux utilisateurs d’accéder à distance aux ressources internes.
Les attaquants ont profité d’une faille logicielle récemment découverte sur les produits d’accès à distance. Cependant, le fournisseur de sécurité n’a pas fourni plus d’informations sur l’attaque, ajoutant que plus d’informations seront fournies lorsqu’il recevra plus de détails sur l’incident.
La nouvelle arrive après que des rapports aient révélé que les systèmes internes de SonicWall ont été mis hors service mardi. Le rapport a également révélé que les hackers ont eu accès au code source du dépôt GitLab de l’entreprise.
SonicWall a demandé à ses clients et partenaires utilisant la série SMA 100 de continuer à accéder à la liste blanche directement sur le SMA pour rester en sécurité. Ils peuvent également utiliser un pare-feu uniquement pour donner accès aux connexions SSL-VPN à la plate-forme SMA.
La violation de SolarWinds se répercute sur d’autres entreprises
Ces dernières semaines ont vu un niveau sans précédent d’attaques contre les fournisseurs de cybersécurité. Il s’agit du cinquième fournisseur de sécurité « pure play » qui a confirmé publiquement une attaque contre son système au cours des sept dernières semaines.
Le 8 décembre, le fournisseur de sécurité FireEye a tiré la sonnette d’alarme sur le piratage de son système, ce qui a incité d’autres entreprises à renforcer leurs protocoles de sécurité. FireEye a révélé à l’époque que ses systèmes étaient compromis par des hackers qui voulaient accéder aux serveurs de certains de ses clients gouvernementaux.
L’attaquant a réussi à accéder à certains des systèmes internes de FireEye. Depuis lors, des rapports ont fait état de violations résultant de la violation initiale des systèmes de FireEye. Le nombre d’entreprises touchées aurait été pire si FireEye n’avait pas fait le premier pas pour alerter à temps ses clients et ses consommateurs de sa violation.
Deux semaines après la violation de FireEye, CrowdStrike a révélé que le Centre de renseignements sur les menaces de Microsoft les avait contactés, soulignant qu’il y avait un compte Microsoft Azure d’un revendeur qui faisait des demandes non autorisées sur l’API de Microsoft dans le nuage.
Cependant, les hackers n’ont pas réussi à lire le courrier électronique de la société, ne sachant pas que CrodSrike n’utilise pas la messagerie électronique Office 356.
Et le 12 janvier, Mimecast a révélé que son certificat émis par Mimecast a été compromis par un acteur malveillant sophistiqué. Selon la révélation, l’acteur de la menace a utilisé le certificat affecté pour authentifier les produits de protection interne du courrier électronique (IEP) de l’entreprise, le contrôleur de continuité, ainsi que les protocoles Sync et Recover de Mimecast.
Cependant, Mimecast n’a pas indiqué si l’attaque a été perpétrée par le même groupe responsable de l’attaque de SolarWinds.
Cependant, certains responsables de la cybersécurité ont révélé qu’il est très probable que le même groupe responsable de l’attaque de SolarWinds soit toujours responsable de l’attaque de Mimecast.
Les acteurs sponsorisés par l’État russe seraient responsables des attaques
Le Washington Post a rapporté précédemment que le groupe responsable de l’attaque de SolarWinds n’est autre que le service de renseignement étranger russe.
Et dans un rapport récent, la société de cybersécurité Malwarebytes a révélé que les hackers de SolarWinds ont utilisé pour leur attaque un produit de messagerie électronique non fonctionnel dans Office 365. Ce produit a permis aux hackers d’accéder facilement à certains courriels internes de l’entreprise.
Bien que Malwarebytes n’utilise pas SolarWinds Orion ni aucun de ses produits, la société a déclaré avoir appris l’existence de la violation par Microsoft après avoir intercepté une activité suspecte sur une application tierce dans Office 265.
Les entreprises doivent mettre en place une authentification à plusieurs facteurs
La violation de la chaîne logistique de SolarWinds a touché plusieurs entreprises, dont Crowdstrike, Microsoft et FireEye.
SonicWall a déclaré avoir constaté une « augmentation spectaculaire des cyberattaques contre le gouvernement et les entreprises », la société a également noté que l’attaque a été plus fréquente parmi les entreprises qui fournissent des protocoles de sécurité et d’infrastructure critiques pour les firmes.
SonicWall a également averti les entreprises qui pourraient être touchées de désactiver l’accès de NextExtender au pare-feu et de permettre l’authentification multi-facteurs pour empêcher toute attaque sur leurs systèmes. Elles devraient également avoir une restriction temporaire de l’accès aux administrateurs et aux utilisateurs pour les adresses IP publiques.
