1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. L'Ordonnance CISA Met en évidence un Risque persistant à la périphérie du réseau

L'Ordonnance CISA Met en évidence un Risque persistant à la périphérie du réseau

L'agence gouvernementale américaine chargée d'améliorer la posture de cybersécurité du pays ordonne à toutes les agences civiles fédérales de prendre de nouvelles mesures pour restreindre l'accès aux équipements réseau exposés à Internet. La directive intervient dans un contexte de recrudescence des attaques ciblant des vulnérabilités jusque-là inconnues dans les appareils de sécurité et de mise en réseau largement utilisés.

Sous un nouvel ordre depuis le Agence de la Cybersécurité et de la Sécurité des Infrastructures (CISA), les agences fédérales disposeront de 14 jours pour répondre à tout rapport de la CISA concernant un équipement réseau mal configuré ou exposé à Internet. La directive s'applique à tous les périphériques réseau — tels que les pare — feu, les routeurs et les équilibreurs de charge-qui permettent l'authentification ou l'administration à distance.

Le décret oblige les ministères fédéraux à limiter l'accès afin que seuls les utilisateurs autorisés sur le réseau local ou interne d'un organisme puissent accéder aux interfaces de gestion de ces appareils. Le mandat de CISA fait suite à une série d'attaques récentes au cours desquelles des attaquants ont exploité des failles zero-day dans des produits de mise en réseau populaires pour mener des attaques de ransomware et de cyberespionnage contre des organisations victimes.

Plus tôt aujourd'hui, la société de réponse aux incidents Mandiant révélé que depuis au moins octobre 2022, les cyberespions chinois exploitent une vulnérabilité zero-day dans de nombreux appareils ESG (email security gateway) vendus par une entreprise californienne Barracuda Réseaux pour aspirer les e-mails des organisations utilisant ces appareils.

Barracuda a été alerté de l'exploitation d'un jour zéro dans ses produits à la mi-mai, et deux jours plus tard, l'entreprise a poussé une mise à jour de sécurité pour corriger la faille dans tous les appareils concernés. Mais la semaine dernière, Barracuda a pris le étape très inhabituelle consistant à proposer de remplacer les ESG compromis, évidemment en réponse à des logiciels malveillants qui ont modifié les systèmes de manière si fondamentale qu'ils ne pouvaient plus être sécurisés à distance avec des mises à jour logicielles.

Selon Mandiant, un groupe de piratage chinois non identifié auparavant était responsable de l'exploitation de la faille Barracuda et semblait rechercher dans les enregistrements de messagerie des organisations victimes des comptes “appartenant à des personnes travaillant pour un gouvernement ayant un intérêt politique ou stratégique pour [la Chine] alors que ce gouvernement victime participait à des réunions diplomatiques de haut niveau avec d'autres pays.”

Lorsque les experts en sécurité ont commencé à tirer la sonnette d'alarme sur un possible jour zéro dans les produits de Barracuda, le groupe de piratage chinois a modifié ses tactiques, techniques et procédures (TTP) en réponse aux efforts de Barracuda pour contenir et remédier à l'incident, a constaté Mandiant.

Mandiant a déclaré que les attaquants continueront de changer leurs tactiques et leurs logiciels malveillants, “d'autant plus que les défenseurs du réseau continuent d'agir contre cet adversaire et que leur activité est davantage exposée par la communauté infosec.”

Pendant ce temps, cette semaine, nous avons appris plus de détails sur l'exploitation en cours de une faille zero-day dans une large gamme de produits de réseau privé virtuel (VPN) fabriqués par Fortinet - appareils sur lesquels de nombreuses organisations s'appuient pour faciliter l'accès au réseau à distance pour les employés.

Le 11 juin, Fortinet a publié une demi-douzaine de mises à jour de sécurité pour son FortiOS firmware, y compris une faiblesse qui, selon les chercheurs, permet à un attaquant d'exécuter des logiciels malveillants sur pratiquement n'importe quelle appliance VPN SSL Fortinet. Les chercheurs trouvé le simple fait de pouvoir accéder à l'interface de gestion d'une appliance VPN SSL Fortinet vulnérable suffisait à compromettre complètement les appareils.

“Il s'agit d'une pré-authentification accessible, sur chaque appliance VPN SSL", chercheur français en vulnérabilité Charles Fol tweeté. "Patchez votre # Fortifiez.”

Dans détails publié le 12 juin, Fortinet a confirmé que l'une des vulnérabilités (Numéro de série: CVE-2023-27997) est activement exploitée. La société a déclaré avoir découvert la faiblesse d'un audit interne du code qui a débuté en janvier 2023 — lorsqu'elle a appris que des pirates informatiques chinois exploitaient une faille zero-day différente dans ses produits.

Shodan.io, le moteur de recherche conçu pour trouver des appareils de l'Internet des objets, rapports qu'il y a actuellement plus d'un demi-million d'appareils Fortinet vulnérables accessibles via l'Internet public.

La nouvelle directive sur la cybersécurité de la CISA ordonne aux agences de supprimer toutes les interfaces de gestion des périphériques réseau d'Internet en les rendant uniquement accessibles à partir d'un réseau d'entreprise interne (la CISA recommande un réseau de gestion isolé). CISA indique également que les agences devraient " déployer des capacités, dans le cadre d'une architecture Zero Trust, qui appliquent le contrôle d'accès à l'interface via un point d'application de la politique distinct de l'interface elle-même (action préférée).”

Les experts en sécurité affirment que la directive de la CISA met en évidence la réalité selon laquelle les cyberespions et les gangs de ransomwares rendent de plus en plus risqué pour les organisations d'exposer tout l'Internet public, car ces groupes sont fortement incités à sonder ces appareils à la recherche de vulnérabilités de sécurité jusque-là inconnues.

L'exemple le plus flagrant de cette dynamique peut être vu dans la fréquence à laquelle les groupes de ransomware ont découvert et se sont lancés sur des failles zero-day dans les applications FTP (file-transfer protocol) largement utilisées. Un gang de ransomwares en particulier — CL0P - a exploité à plusieurs reprises des bogues zero day dans diverses appliances FTP pour extorquer des dizaines de millions de dollars à des centaines de victimes de ransomwares.

Le 2 février, KrebsOnSecurity a annoncé la nouvelle que les attaquants exploitaient une vulnérabilité zero-day dans le Partout Appliance FTP par Fortra. Au moment où des mises à jour de sécurité étaient disponibles pour corriger la vulnérabilité, Cl0p l'avait déjà utilisée pour voler des données à plus d'une centaine d'organisations exécutant l'appliance FTP de Fortra.

Selon CISA, le 27 mai, Cl0p a commencé à exploiter une faille jusque-là inconnue dans Transfert MOVEit, une application de transfert de fichiers populaire sur Internet. Parent MOVEit Logiciel de Progression a depuis publié des mises à jour de sécurité pour remédier à la faiblesse, mais Cl0p réclamations pour l'avoir déjà utilisé pour compromettre des centaines d'organisations de victimes. Coup de Pouce technologique a été suivi les retombées des organisations de victimes, qui vont des banques et des assureurs aux universités et aux entités de santé.

Le podcast hebdomadaire d'actualités sur la sécurité toujours à jour Entreprise Risquée a récemment exhorté les organisations à abandonner toutes les appliances FTP, notant que Cl0p (ou un autre gang criminel) est susceptible de subir le même traitement sur d'autres fournisseurs d'appliances FTP.

Mais ce conseil judicieux ne s'adapte pas exactement aux périphériques réseau de niveau intermédiaire tels que les ESG Barracuda ou les VPN SSL Fortinet, qui sont particulièrement importants dans les petites et moyennes entreprises.

“Ce n'est pas comme les services FTP, vous ne pouvez pas dire à une entreprise [de] désactiver le VPN [parce que] l'impact sur la productivité de la déconnexion du VPN est terminal” c'est un non-démarreur", co-hôte de Risky Business Jean-Pierre Boileau dit sur le spectacle de cette semaine. "Alors, comment atténuer l'impact de l'utilisation d'une appliance réseau jointe à un domaine à la périphérie de votre réseau qui va y entrer le jour zéro? Il n'y a pas de bonne réponse.”

Fondateur d'Entreprise Risquée Patrick Gris il a déclaré que la pandémie de COVID-19 a insufflé une nouvelle vie à des classes entières d'appareils de mise en réseau qui reposent sur un code qui n'a jamais été conçu en tenant compte des modèles de menace actuels.

“Dans les années qui ont précédé la pandémie, la poussée vers des proxys sensibles à l'identité et zéro confiance en tout et l'abandon de ce type d'équipement a été progressive, mais cela se produisait”, a déclaré Gray. "Et puis COVID-19 a frappé et tout le monde a dû aller travailler à domicile, et il y avait vraiment une option pour y aller rapidement — qui consistait à déployer des concentrateurs VPN avec des fonctionnalités d'entreprise.”

Gray a déclaré que le secteur de la sécurité s'était concentré sur la création de la prochaine génération d'outils d'accès à distance plus sécurisés, mais lorsque la pandémie a frappé, les organisations se sont démenées pour bricoler tout ce qu'elles pouvaient.

“Les seules choses disponibles sur le marché étaient toutes ces vieilles conneries qui ne sont pas correctement contrôlées par l'assurance qualité, et chaque fois que vous les secouez, les CVE tombent”, a fait remarquer Gray, qualifiant la pandémie de “coup de pouce” à des entreprises comme Fortinet et Barracuda.

“Ils ont vendu tellement de VPN pendant la pandémie et c'est la gueule de bois”, a déclaré Gray. "COVID - 19 a prolongé la durée de vie de ces entreprises et technologies, et c'est malheureux.”



>>Plus