VPN, Exchange, etc. : ces vulnérabilités qui peuvent coûter des millions

La facture ne sera pas indolore : Travelex a concédé à ses maîtres chanteurs le paiement d’une rançon de l’ordre de 2,3 M$ – soit 285 bitcoins – selon nos confrères du Wall Street Journal. Le spécialiste de l’achat et vente de devises a été frappé par un ransomware le 31 décembre. Selon nos confrères de ComputerWeekly (groupe TechTarget), il s’agit de Revil/Sodinokibi. Et selon la BBC, les assaillants auraient initialement réclamé rien moins que 6 M$.

Ce ransomware ne manque pas d’être distribué via des serveurs VPN Pulse Secure laissés affectés par la vulnérabilité CVE-2019-11510, malgré la disponibilité de correctifs depuis la fin avril 2019. Début janvier, Bad Packets indiquait avoir notifié Travelex le 13 septembre dernier, sans obtenir de réponse. Le moteur de recherche spécialisé Shodan référençait encore, en fin décembre 2019, un serveur VPN signé Pulse Secure, vulnérable, appartenant apparemment à Travelex. 

Le cas n’est pas isolé. Fin août, les autorités lançaient l’alerte sur le Vieux Continent, en soulignant l’existence de vulnérabilités présentes dans les serveurs de réseau privé virtuel signés Fortinet, Palo Alto Networks et Pulse Secure. Celles-ci avaient été divulguées dans le courant de l’été. Les équipes du Cert gouvernemental français relevaient alors que « pour chacun de ces produits, les chercheurs ont réussi à exécuter du code arbitraire à distance exploitant ces vulnérabilités ».

Et pour ne rien gâcher, d’autres équipements très sensibles et exposés sur Internet sont affectés par des vulnérabilités tout aussi critiques. Cela vaut ainsi pour les systèmes Citrix ADC/Netscaler Gateway touchés par la vulnérabilité CVE-2019-19781 dite Shitrix. Celle-ci apparaît exploitée activement depuis la mi-janvier.

Bretagne Telecom indiquait fin février avoir été attaqué avec succès quelques semaines plus tôt via l’exploitation de cette vulnérabilité. L’opérateur s’en est tiré sans trop de peine. Le Danois ISS semble avoir rencontré plus de difficultés à se défaire du ransomware Ryuk. Les assaillants seraient passés par la messagerie électronique, mais certains éléments de ce que le groupe a pu donner à voir ne relèvent pas nécessairement de l’hygiène de cybersécurité la plus stricte.

Ainsi, le moteur de recherche spécialisé Onyphe indique qu’ISS a exposé précédemment sur Internet un équipement vulnérable à la faille dite Shitrix. Bad Packets Report indique de son côté en avoir identifié un dès le 11 janvier, avant de le signaler aux autorités compétentes.

Mais liste est plus longue encore. Il faut ainsi compter également avec la vulnérabilité CVE-2020-1938, qui affecte le connecteur AJP d’Apache Tomcat, dite Ghostcat, ou encore la CVE-2020-0688 touchant les serveurs Exchange : celle-ci permet de prendre le contrôle complet du serveur après authentification réussie avec des identifiants préalablement dérobés. Bad Packets vient tout juste de faire à nouveau état d’activités de recherche de serveurs vulnérables en masse. La semaine dernière, Rapid7 déplorait un très faible taux d’application des correctifs disponibles.

Le coût d’une attaque de rançongiciel réussie devrait déjà inciter à déployer les correctifs disponibles pour des vulnérabilités critiques en cours d’exploitation. Mais le contexte de pandémie de coronavirus Covid-19 peut motiver à accélérer le processus, ne serait-ce que pour éviter de se trouver confronté à une situation de sur-crise.

Et cela vaut en particulier dans les domaines les plus essentiels, comme celui de la santé. Onyphe propose d’ailleurs d’aider les établissements de santé à détecter leurs systèmes affectés et assure au passage l’avoir déjà fait « pour certaines autorités nationales et hôpitaux ».