Le FBI dit que les attaquants des États-nations sont impliqués dans des réseaux d’entités notables américaines piratés
Le FBI a déclaré dans une récente alerte Flash Security que les réseaux d’un gouvernement municipal américain et d’une entité financière américaine ont été violés en raison de la vulnérabilité CVE-2019-11510 affectant les serveurs VPN Pulse Secure.
L’Agence américaine de cybersécurité et de sécurité des infrastructures ou CISA a déjà alerté les organisations sur cette vulnérabilité et les attaques en cours pour exploiter la faille et leur a recommandé de patcher leurs serveurs VPN Pulse Secure le 10 janvier.
Les bogues permettent aux attaquants d’envoyer des URL spécialement conçues pour connecter des appareils vulnérables et obtenir un accès non autorisé et pour lire à distance les fichiers sensibles contenant les informations d’identification des utilisateurs depuis leurs serveurs. Ils peuvent utiliser pour contrôler le système infecté plus tard.
Sur un système sans correctif, “permet aux personnes sans nom d’utilisateur et mot de passe valides de se connecter à distance au réseau d’entreprise que l’appareil est censé protéger, de désactiver les contrôles d’authentification multifacteur, d’afficher à distance les journaux et les mots de passe mis en cache en texte brut (y compris Active Directory mots de passe du compte) “, a expliqué le chercheur en sécurité Kevin Beaumont.
Des entités américaines ont violé les attaques Pulse Secure VPN
Selon le FBI, des attaquants inconnus utilisent la vulnérabilité CVE-2019-11510 pour exploiter des entités américaines depuis août 2019. En août, des attaquants ont eu accès au réseau d’une entité financière américaine et ont également violé un réseau de gouvernement municipal américain en utilisant la vulnérabilité déclarée. Selon le FBI, certains acteurs des États-nations ont été impliqués dans ces deux attaques. Cependant, ce n’est pas clair s’il s’agit d’incidents isolés.
Le gouvernement américain a piraté le réseau
L’attaque du réseau du gouvernement municipal américain ayant eu lieu à la mi-août 2019, les attaquants ont pu énumérer et exalter les comptes des utilisateurs, les informations de configuration d’hôte et les identifiants de session qui pourraient permettre d’accéder au réseau interne. Il est possible qu’après avoir coupé le réseau, les attaquants aient attaqué Active Directory et collecté les informations d’identification des utilisateurs, telles que les noms d’utilisateur et les mots de passe pour le client VPN. Après avoir tenté d’énumérer les informations d’identification des utilisateurs et d’avoir accès aux autres segments du réseau, ils n’ont pu exploiter ces segments sur le réseau qu’en utilisant une authentification à un seul facteur.
“Le ou les intrus ont tenté d’accéder à plusieurs comptes de messagerie Web Outlook mais ont échoué car les comptes se trouvent sur des domaines distincts
exigeant des informations d’identification différentes non obtenues par le ou les intrus.
Bien que l’intrus ou les intrus aient effectué une énumération supplémentaire, rien ne prouvait que des données aient été compromises ou exfiltrées, et les intrus n’ont apparemment pas installé de capacité de persistance ni pris pied dans le réseau. “
Connexion possible avec l’Iran
Une notification privée de l’industrie traitant des cyber-tactiques et techniques iraniennes a déclaré: “Des informations indiquant que les cyber-acteurs iraniens ont tenté d’exploiter Common Vulnerability and Exposures (CVE) 2019-11510 [..]”
“Le FBI évalue ce ciblage, qui a eu lieu depuis la fin de 2019, est largement étendu et a touché de nombreux secteurs aux États-Unis et dans d’autres pays.
Le FBI a observé des acteurs utilisant des informations obtenues en exploitant ces vulnérabilités pour accéder davantage à des réseaux ciblés et établir d’autres points d’ancrage même après que la victime a corrigé la vulnérabilité. “
Mesures d’atténuation
Le FBI conseille aux municipalités d’examiner cet avis de cybersécurité de la National Security Agency (NSA) sur l’atténuation des vulnérabilités VPN. Ils recommandent également de prendre les mesures suivantes:
- Soyez vigilant et installez immédiatement les correctifs publiés par les fournisseurs, en particulier pour les appliances Web;
- Bloquer ou surveiller les adresses IP malveillantes ci-dessus, ainsi que toute autre adresse IP effectuant des connexions à distance à des heures impaires;
- Réinitialisez les informations d’identification avant de reconnecter les appareils mis à niveau à un réseau externe;
- Révoquer et créer de nouvelles clés de serveur VPN et certificats;
- Utilisez l’authentification multifactorielle comme mesure de sécurité au-delà des mots de passe, ce qui vous permet de différencier un utilisateur d’un attaquant;
- Examinez vos comptes pour vous assurer que les adversaires n’ont pas créé de nouveaux comptes;
- Mettre en œuvre la segmentation du réseau, le cas échéant;
- Assurez-vous que les interfaces Web administratives ne sont pas accessibles depuis Internet
Les serveurs VPN Pulse Secure non corrigés ciblent toujours
NSA, octobre 2019, “Le code d’exploitation est disponible gratuitement en ligne via le framework Metasploit, ainsi que GitHub. Les cyber-acteurs malveillants utilisent activement ce code d’exploitation.”
Le 25 août 2019, la firme de sécurité Bad Packets a découvert 14528 serveurs Pulse Secure non corrigés qui ont donné aujourd’hui 3 328 serveurs, les États-Unis étant les premiers de ce classement à disposer de 1000 serveurs VPN non corrigés.
Scott Gordon (CISSP), directeur du marketing de Pulse Secure, a déclaré que les attaquants exploitent activement “des serveurs VPN non corrigés pour propager des logiciels malveillants, REvil (Sodinokibi), en distribuant et en activant le Ransomware via des invites interactives de l’interface VPN aux utilisateurs qui tentent d’accéder via des serveurs VPN Pulse vulnérables et non corrigés. “