Posté le août 25, 2019 à 15:55
LES CYBERCRIMINELS EXPLOITENT LES SERVEURS VULNÉRABLES DE DEUX CÉLÈBRES VPNS
L’hypothèse est que les réseaux privés virtuels, ou VPN, sont des ressources en ligne qui aident les utilisateurs à chiffrer leurs données et leurs communications sur Internet afin d’éviter les hackers et les explorateurs de contenu, gagnant ainsi en confidentialité.
Cependant, l’efficacité d’une marque VPN dépend de nombreux facteurs, notamment de son infrastructure et de ses règles. Selon des chercheurs de la conférence sur la sécurité Black Hat qui s’est tenue le mois dernier à Las Vegas, des cybercriminels commettent des attaques pour voler des mots de passe, des clés de cryptage et d’autres informations précieuses sur les serveurs VPN peu fiables de deux marques réputées.
Ces sociétés, à savoir Fortigate SSL VPN et Pulse Secure SSL VPN, ont plusieurs serveurs qui n’ont pas appliqué certainns correctifs importants, une situation qui les rend extrêmement vulnérables aux hackers qui volent les informations susmentionnées aux serveurs.
Les problèmes avec les serveurs non corrigés
Selon les chercheurs présents à la réunion de Black Hat, ces vulnérabilités peuvent être exploitées si le hacker ou l’entité envoie des requêtes Web à des serveurs non corrigés avec une séquence de caractères particulière.
Les exploits de lecture de fichiers ont été trouvés chez Fortigate, installés sur près de 500 000 serveurs, et Pulse Secure, trouvés sur 50 000 d’entre eux, selon les informations présentées par les spécialistes et chercheurs de Devcore Security Consulting.
Des représentants de Devcore ont également dévoilé d’autres exploits clés associés aux deux marques. Si les attaquants en profitent, ils pourront exécuter du code malveillant et modifier les mots de passe à distance. Dans le cas du VPN Fortigate, il a développé des correctifs pour cette situation en mai, alors que Pulse Secure l’a fait en avril.
Cependant, plusieurs utilisateurs ont rapporté qu’une fois les correctifs installés, ils ont souvent connu des dysfonctionnements qui deviennent un obstacle à l’exécution des opérations essentielles d’une VPN.
Bad Packets, un service de renseignement de sécurité, a analysé Internet ces dernières heures. Les résultats ont montré que Pulse Secure comptait 2 658 point d’extrémité vulnérables aux failles exploitées à l’heure actuelle. Selon l’analyse, ces points d’extrémité appartenaient à des institutions et à des organisations telles que l’armée américaine et d’autres agences gouvernementales fédérales, étatiques et locales. D’autres sont des universités et des écoles publiques, des banques, des hôpitaux et des prestataires de soins de santé. La majorité des points d’extrémité sont situés aux États-Unis.
Au cours des deux derniers jours, les cybercriminels ont passé une grande partie de leur temps à écrire des codes sur Internet qui cherchent à exploiter la situation, selon Kevin Beaumont, chercheur indépendant connu.
Des malfaiteurs connus
M. Beaumont a dit qu’il avait trouvé des attaques utilisant Fortigate via l’adresse IP 91.121.209.213, qui avait déjà été associée à une mauvaise conduite dans le passé. Une autre adresse, le 52.56.148.178, a été découverte pour pulvériser les exploits lors d’un balayage du vendredi avec le moteur BinaryEdge.
Beaumont a fait remarquer que les infractions relatives aux serveurs Pulse Secure non mis à jour provenaient du 2.137.127.2, le code d’exploitation devenant disponible cette semaine. Le chercheur indépendant Troy Mursch, connu sous le pseudonyme Bad Packets, a expliqué avoir identifié des attaques provenant de 81.40.150.167.
Si une analyse en masse parvient à repérer un serveur vulnérable ou exploitable, elle pourrait exploiter une faille d’exécution de code révélée par les spécialistes de Devcore.
M. Mursch a observé que les analyses ciblent des points d’extrémité vulnérables à la lecture arbitraire de fichiers, une situation qui entraîne la fuite de données importantes, en particulier les identifiants des utilisateurs et les clés privées. Ils peuvent ensuite être utilisés pour effectuer d’autres injections de commandement afin d’accéder à des réseaux privés.
Mursch a essentiellement utilisé un serveur pour attirer l’attaquant et en apprendre plus à son sujet, et le serveur qu’il a utilisé pour détecter lesdites attaques a également réussi à repérer le fait que l’adresse IP 2.137.127.2 visait aussi l’exploit Pulse Secure.
Selon lui, l’une ou l’autre des adresses IP était exploitée par des chercheurs dans l’intention d’enquêter sur la question, à la recherche de serveurs non corrigés. Le « pot de miel » a été fourni par BinaryEdge.
Les exploits sont extrêmement subtils car ils peuvent affecter les logiciels qui doivent être accessibles sur Internet et servir de passerelle pour accéder à des parties du réseau d’une entité censées être privées ou confidentielles.