Vulnérabilités de serveurs VPN : les cyberdélinquants passent à l’attaque

Fin août les autorités lançaient l’alerte sur le Vieux Continent, en soulignant l'existence de vulnérabilités présentes dans les serveurs de réseau privé virtuel signés Fortinet, Palo Alto Networks et Pulse Secure. Celles-ci avaient été divulguées dans le courant de l’été. Les équipes du Cert gouvernemental français relevaient alors que « pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance exploitant ces vulnérabilités ».

L’alerte n’était pas isolée : une semaine plus tôt, plusieurs experts indiquaient observer des opérations de reconnaissance active en ligne, à la recherche de systèmes vulnérables. A l’époque, plus de 14 500 systèmes Pulse Secure vulnérables étaient présents en ligne, dont plusieurs centaines en France. En fin de semaine dernière, ils étaient encore près de 200 dans l’Hexagone.

Alors SwitHak tente à nouveau d’éveiller les consciences sur Twitter : « aux entreprises françaises qui n’ont toujours pas répondu après de multiples e-mails au sujet de leurs serveurs Pulse Secure vulnérables exposés en ligne, ce qui est arrivé à Travelex peut vous arriver également ». Bad Packets indique avoir notifié le spécialiste de l’achat et vente de devises le 13 septembre dernier : « pas de réponse ». Le moteur de recherche spécialisé Shodan référençait encore, en fin de semaine dernière, un serveur VPN signé Pulse Secure, vulnérable, appartenant apparemment à Travelex. Il semble que l’application des correctifs, pourtant disponibles depuis le printemps 2019, n’a commencé qu’au mois de novembre.

Pour l’heure, il n’est pas avéré qu’il s’agisse là du vecteur d’entrée utilisé par les assaillants de Travelex, mais cela semble de plus en plus probable. Selon nos confrères de ComputerWeekly (groupe TechTarget), le spécialiste des achats et ventes de devises est en proie au ransomware Sodinokibi, aussi connu sous le nom de Revil : « le maliciel a frappé tôt le matin du 31 décembre, en chiffrant des fichiers métiers critiques ». Une demande de rançon demande un « règlement en bitcoins via un site Web sur un domaine enregistré en mars 2019, en Chine » : « les pirates ont indiqué aux équipes de Travelex de consulter un site Web – qui apparaît hébergé dans un centre de calcul au Colorado – en utilisant un navigateur Tor ».

Kevin Beaumont souligne que Revil/Sodinokibi ne manque pas d’être distribué via des serveurs VPN Pulse Secure laissés vulnérables. Mais ce n’est pas le seul point d’entrée potentiel que Travelex a laissé ouvert sur Internet : il fallait aussi compter avec des instances Windows Server 2008 R2 hébergées sur AWS, exposant leur service RDP, sans authentification au niveau du réseau.

Actuellement, les sites Web de Travelex dans plusieurs pays affichent un message faisant état d’une « maintenance planifiée ». L’entreprise n’a pas indiqué à nos confrères de ComputerWeekly si elle envisageait de payer la rançon demandée ou pas.