Les pirates chinois ciblent les agences gouvernementales américaines et les organisations privées en exploitant les failles Citrix, F5 et Exchange
Une déclaration conjointe du FBI et de la CyberSecurity and Infrastructure Agency (CISA) indique que certaines vulnérabilités des serveurs et appareils Citrix, F5, Pulse et Microsoft Exchange sont exploitées par des pirates informatiques parrainés par la Chine.
La déclaration indique que les acteurs malveillants ciblent le gouvernement américain et les entreprises privées dans le but d’exposer publiquement les appareils vulnérables avec le moteur de périphérique Internet shodan ou une base de données de vulnérabilité telle que la base de données nationale sur les vulnérabilités et les vulnérabilités communes et l’exposition.
Voici ce que la CISA et le FBI ont expliqué:
«Selon un récent acte d’accusation du ministère américain de la Justice, les acteurs affiliés au MSS ont ciblé diverses industries aux États-Unis et dans d’autres pays, y compris la fabrication de haute technologie; matériel médical, génie civil et industriel; logiciels commerciaux, éducatifs et de jeux; énergie solaire; médicaments; et la défense – dans une campagne qui a duré plus de dix ans. Ces pirates ont agi à la fois pour leur profit personnel et pour le bénéfice du MSS chinois. »
CISA est le conseiller national des risques. Il vise à défendre les États-Unis contre les menaces d’aujourd’hui. Il collabore avec leurs partenaires pour fournir une infrastructure plus sécurisée et résiliente pour la fonctionnalité. La date de création de la CISA est le 16 novembre 2018.
Les défauts notables, selon l’agence, sont:
- CVE-2020-0688: ceci est détecté de manière vulnérable sur Microsoft Exchange Server. Les pirates peuvent utiliser cette faille pour activer la collecte de courrier des réseaux ciblés
- CVE-2020-5902: Vulnérabilité dans F5 Big- IP. Les pirates peuvent profiter de cette vulnérabilité pour créer des commandes système arbitraires, supprimer ou créer des fichiers, exécuter du code Java et / ou désactiver des services
- CVE-2019-11510: cette vulnérabilité dans le code distant de Pulse Secure VPN qui permet aux attaquants d’accéder aux réseaux des victimes.
- CVE-2019-19781: dans le trou de traversée de répertoire VPN Citrix, les pirates peuvent exécuter des attaques de traversée de répertoire
Comme les fournisseurs corrigent déjà chacune de ces vulnérabilités, les entreprises privées et les agences gouvernementales peuvent désormais protéger leurs réseaux s’ils déploient les dernières mises à jour de sécurité.
Les équipes de piratage chinois sont toujours à la recherche de points faibles qu’ils pourraient utiliser. Par exemple, ils ciblent les serveurs avec des trous dans leurs applications Web sur mesure. Ils abusent des bogues disponibles et d’autres opportunités pour accéder aux données. Ce que le FBI et la CISA recommandent: «Les organisations vérifient régulièrement leurs programmes de configuration et de gestion des correctifs pour s’assurer qu’elles peuvent suivre et atténuer les menaces émergentes. La mise en œuvre d’un programme rigoureux de configuration et de gestion des correctifs entravera les opérations sophistiquées des acteurs de la cyber-menace et protégera les ressources et les systèmes d’information des organisations ».
Ainsi, les organisations privées et les agences gouvernementales devraient exiger des correctifs de leurs programmes et essayer la détection des intrusions.