Posté le février 3, 2020 à 9:38
LES HACKERS EXPLOITENT LES SYSTÈMES DE CONTRÔLE D’ACCÈS POUR LANCER DES ATTAQUES DDOS
La société de pare-feu SonicWall a révélé que les hackers prennent sérieusement le contrôle des systèmes de contrôle d’accès des portes intelligentes pour exécuter des attaques DDoS. On pense que les hackers attaquent un système de sécurité et de contrôle Nortek connu sous le nom de Linear eMerge E3.
Le système eMerge E3 fait partie des systèmes de contrôle d’accès, qui sont généralement installés dans les parcs industriels, les usines et les sièges sociaux des entreprises. Ils sont utilisés pour contrôler la façon dont les visiteurs et les employés peuvent accéder aux salles et aux portes en fonction de leur rang et de leurs références dans les organisations.
Certaines portes ne sont pas accessibles aux visiteurs, tandis que d’autres sont réservées aux employés de haut rang. Le système eMerge E3 est responsable de l’attribution des paramètres d’accès aux personnes dans les locaux de l’entreprise à l’aide de leurs cartes à puce ou de leurs codes d’accès.
En mai dernier, une société de cybersécurité, Applied Risk Researchers, a révélé des détails sur les vulnérabilités qui affectent les systèmes NSC Linear eMerge E3.
Même lorsque le score de risque d’environ six des dix dispositifs vulnérables était considéré comme très élevé, NSC n’a pas patché les appareils, ce qui signifie qu’ils sont toujours vulnérables aux attaques. Les chercheurs du département de sécurité d’Applied Risk travaillent toujours pour savoir s’il existe d’autres dispositifs affectés ou vulnérables qui ne sont pas encore connus.
Exploitation du CVE-2019-7256
Les chercheurs de SonicWall ont publié un rapport la semaine dernière, fournissant des détails sur les activités d’exploitation des hackers sur les dispositifs NSC eMerge E3. Selon le rapport, ces hackers s’attaquent aux vulnérabilités de l’un des systèmes. Le CVE-2019-7256 est la vulnérabilité spécifique que les hackers ciblent.
Les chercheurs ont déclaré que cette vulnérabilité est appelée «faille d’injection de commande». Les hackers utilisent cette faille car c’est l’une des plus vulnérables à exploiter, les hackers pouvant facilement l’exploiter à distance. C’est la plus facile à exploiter, ce qui explique pourquoi les hackers ont eu recours à cette vulnérabilité.
Les appareils IOS peuvent être utilisés comme une passerelle
Alors que nous sommes toujours confrontés aux vulnérabilités des dispositifs intelligents utilisés dans le contrôle d’accès, le problème est plus important. Ces appareils vulnérables pourraient être utilisés comme une passerelle pour accéder aux réseaux internes d’une organisation.
L’année dernière, Microsoft a révélé qu’un syndicat de hackers, parrainé par le gouvernement russe, utilisait les appareils intelligents IdO comme point d’entrée pour lancer des attaques sur les réseaux d’entreprise. Le rapport a révélé que les hackers ont essayé d’exploiter un magnétoscope, une imprimante de bureau et un téléphone VOIP. Plusieurs autres cas d’attaques similaires ou de tentatives d’utilisation d’appareil IOS pour accéder au réseau de l’organisation ont été signalés.
Comment la faille est déclenchée
Les chercheurs ont révélé que le problème de vulnérabilité de l’appareil est le résultat d’une désinfection inadéquate des entrées de l’utilisateur. En conséquence, il permet l’exécution de commandes arbitraires avec les privilèges utilisateur root. Dans une note publiée sur l’alerte de sécurité la semaine dernière, SonicWall a expliqué qu’il est très facile pour un attaquant à distance d’infiltrer le dispositif en raison de son risque élevé de rupture.
Les hackers utilisent le CVE-2019-7256 pour détourner des appareils
Les chercheurs en sécurité ont révélé que les hackers s’emparent des systèmes de contrôle d’accès en utilisant la vulnérabilité CVE-2019-7256. Ils téléchargent des logiciels malveillants, les installent et lancent des attaques DDoS sur d’autres appareils.
Les chercheurs ont remarqué la première attaque le 9 janvier. Depuis lors, les attaquants ont continué à pirater les systèmes de contrôle d’accès.
Ces attaques ont commencé le 9 janvier de cette année et ont été détectées par la société de renseignement Bad Packets.
Selon SonicWall, les attaquants ciblent sérieusement les appareils car il y a déjà des dizaines de milliers de ces attaques chaque jour. Les attaquants ont jusqu’à présent ciblé plusieurs appareils dans plus de 100 pays, mais la plupart des appareils visés proviennent des États-Unis.
Toutefois, SonicWall a rappelé que le nombre de dispositifs eMerge accessibles par Internet est faible, par rapport à un grand nombre d’autres appareils connectés.
Selon le rapport de SonicWall, il n’y avait que 2 375 appareils eMerge affectés dans le moteur de recherche Shodan. Ce nombre est bien inférieur aux millions de routeurs domestiques et de caméras de sécurité qui sont connectés en ligne.
Même avec ce petit nombre d’appareils eMerge connectés, les attaquants continuent de sonder et d’exploiter leurs options de piratage sur les appareils. SonicWall a souligné que ses récentes activités montrent que les attaquants ne cesseront probablement pas d’exploiter les appareils de sitôt.