Bits and Splits - stock.adobe.co
iSCSI : des centaines de systèmes de stockage français exposés sur Internet
Plus de 13 500 systèmes de stockage exposent en ligne un service iSCSI sans authentification, laissant leur contenu accessible à tous. Et cela concerne près de 760 systèmes répondant sur une adresse IP française.
D’importantes fuites de données en attente de survenir ? Peut-être bien. "A Shadow", qui se décrit comme hacker « grey hat » ou encore praticien du test d’intrusion, a sonné l’alerte le week-end dernier : de très nombreux systèmes de stockage iSCSI sont exposés à tous les vents sur Internet, laissant n’importe qui s’y connecter pour accéder à leur contenu, sans la moindre authentification.
Celui qui répond sur Twitter à l’identifiant de @arealshadow assure que la plupart de ces systèmes de stockage « contiennent des disques de grande capacité, avec des données sensibles et de fichiers de sauvegardes d’entreprises » qu’il imagine bien utilisés dans le cadre de tentatives d’extorsion. Et de présenter ainsi en illustration ce qui pourrait n’être autre que la représentation d’un volume de 16 To dans le gestionnaire de stockage de Windows, après montage par l’initiateur iSCSI.
Sans trop de surprise, sa découverte est partie du moteur de recherche spécialisé Shodan. Ce dernier recense ainsi près de 13 600 adresses IP exposant des services iSCSI accessibles sans authentification. Pour la France, le nombre est bien plus modeste, mais s’élève tout de même à près de 760 adresses IP.
Certaines de ces adresses exposent également un service SMB, mais lui, nécessitant authentification. Ce qui ne manque pas d’une certaine ironie.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Attaque du plus proche voisin : une variante de l’attaque par rebond
-
Administration à distance : ConnectWise ScreenConnect à patcher d’urgence
-
Vulnérabilités Ivanti Connect Secure : près d’une centaine de victimes identifiées en France
-
RDP : dix pratiques de référence pour prévenir les cyberattaques