Posté le octobre 12, 2020 à 15:03
LES HACKERS UTILISENT LES VULNÉRABILITÉS DE WINDOWS ET DE VPN POUR ACCÉDER AUX SYSTÈMES DE SUPPORT AUX ÉLECTIONS
Alors que les élections américaines sont sur le point de commencer, la sécurité des services d’assistance électorale est plus importante que jamais. Le pays a fait tout ce qui est en son pouvoir pour s’assurer qu’il n’y ait aucun moyen pour quiconque de violer la sécurité du système et d’essayer de manipuler les élections.
Cependant, après tout ce qui a été fait pour protéger le système, il semble que les hackers aient encore réussi à trouver un moyen d’accéder aux réseaux du gouvernement.
Le FBI et la CISA (Cybersecurity and Infrastructure Security Agency) ont mené une enquête conjointe et ont découvert que les hackers ont réussi à violer la sécurité en combinant des bogues de Windows et de VPN.
Les données électorales n’ont pas été compromises
Les agences ont publié un rapport vendredi, notant qu’il y a eu de multiples attaques contre les réseaux des gouvernements fédéral, d’état, local, tribal et territorial (SLTT). Les hackers ne se sont pas arrêtés là non plus, puisqu’ils ont également ciblé certains réseaux non gouvernementaux.
L’alerte de sécurité que les agences ont publiée indique que les enquêteurs sont conscients de l’activité ainsi que du fait que les attaques ont réussi à accéder aux systèmes de support aux élections. Cependant, selon la CISA, il n’y a aucune preuve que les données ont été compromises.
Les responsables ont noté qu’il ne semble pas que ces cibles aient été choisies en raison de leur proximité avec les informations électorales. Malgré cela, les données électorales stockées sur les réseaux gouvernementaux pourraient être menacées.
Quelles vulnérabilités les hackers ont-ils utilisées ?
L’alerte indique que les hackers ont utilisé une combinaison de deux vulnérabilités – une vulnérabilité VPN connue sous le nom de CVE-2018-13379, et une vulnérabilité Windows connue sous le nom de CVE-2020-1472.
La première est une vulnérabilité du VPN SSL FortiOS de Fortinet, qui est un serveur VPN sur site. Le serveur est utilisé comme une passerelle sécurisée, qui permet d’accéder à distance aux réseaux d’entreprise.
Cette vulnérabilité a été révélée en 2019 et permet aux hackers de télécharger des logiciels malveillants sur des systèmes non protégés. Ce faisant, il leur est possible de détourner les serveurs VPN de Fortinet.
La vulnérabilité de Windows, CVE-2020-1472, est également connue sous un autre nom – Zerologon. Il s’agit essentiellement d’une vulnérabilité de Netlogon. Netlogon est un protocole que les postes de travail Windows utilisent pour l’authentification par rapport aux serveurs Windows fonctionnant en tant que contrôleurs de domaine.
En utilisant cette vulnérabilité, les hackers pourraient s’emparer des contrôleurs de domaine, qui sont des serveurs utilisés pour gérer l’ensemble des réseaux internes ou d’entreprise. Ces serveurs stockent généralement aussi les mots de passe de chaque poste de travail qui leur est connecté.
En combinant ces deux vulnérabilités, les hackers peuvent détourner les serveurs Fortinet, puis utiliser Zerologon pour prendre le contrôle des réseaux internes. Il a été confirmé qu’ils utilisent des outils d’accès à distance légitimes, tels que RDP et VPN, et qu’ils utilisent des identifiants compromis pour accéder à l’environnement.
Les agences ont également qualifié les attaquants d’acteurs APT (Advanced Persistent Threat), mais aucun autre élément n’a été communiqué dans le rapport. Une chose à noter est que ce terme est souvent utilisé pour les groupes parrainés par l’État, comme l’Iranian MuddyWatter (APT Mercury). Ce groupe particulier a récemment été observé à l’aide de Zerologon, et il était connu pour avoir ciblé des réseaux du gouvernement américain dans le passé.
Qu’en est-il ensuite ?
Compte tenu de ces nouvelles découvertes, le FBI et la CISA recommandent aux secteurs privé et public de mettre à jour leurs systèmes. Les mises à jour permettraient de corriger les bogues et de garantir les systèmes contre de telles attaques.
Les correctifs ne sont pas nouveaux — ils existent depuis des mois, ils devraient donc être faciles à trouver et à mettre en œuvre. En outre, les agences ont également noté que les hackers pourraient essayer d’utiliser d’autres vulnérabilités des produits VPN et des passerelles qui ont été révélées et rendues publiques au cours des derniers mois.
Il s’agit par exemple des vulnérabilités CVE-2019-11510, CVE-2019-1579, CVE-2019-19781, CVE-2020-15505 et CVE-2020-5902.
