Vulnérabilités : signes encourageants pour Exchange, beaucoup moins pour F5

À l’inverse des indicateurs de la pandémie de Covid-19 en France, le nombre de serveurs Exchange détectables comme affectés par les vulnérabilités dites ProxyLogon, et en particulier la CVE-2021-26855, recule, et sensiblement qui plus est.

Pour mémoire Microsoft a publié, tout début mars, en urgence et hors cycle habituel, des correctifs pour ces vulnérabilités qui, exploitées de manière combinée, permettent de compromettre en profondeur les serveurs de messagerie affectés. Malgré l’urgence, au 14 mars, RiskIQ comptait plus de 69 000 serveurs Microsoft Exchange affectés. Une semaine plus tard, ils seraient moins de 30 000.

Au 17 mars, le moteur de recherche spécialisé Onyphe en comptait 1 019 sur des adresses IP en France, mais 1 046 en ajoutant les domaines .fr hébergés hors de l’Hexagone. De notre côté, sur un échantillon d’une petite centaine d’adresses IP françaises affectées par la vulnérabilité CVE-2021-26855 au 11 mars, nous sommes tombés, au 23 mars, à 33.

Le travail apparaît donc clairement engagé. Mais le rythme risque de ne pas être suffisant pour éviter à tous d’être victimes d’une cyberattaque. Car les opérations offensives exploitant les vulnérabilités Proxylogon continuent de se multiplier. En particulier, un ransomware baptisé BlackKingdom a commencé à être observé. Celui-ci chiffre bien les données sur les serveurs compromis et demande une rançon de l’ordre de 10 000 $. Et nous avons déjà pu identifier une adresse bitcoin sur laquelle un tel paiement a été effectué.

Mais Kryptos Logic affiche des statistiques moins rassurantes : selon lui, sur un total de 250 000 adresses IP analysées, il faut bien compter moins de 30 000 machines vulnérables… mais rien moins que 97 827 webshells installés sur 15 510 adresses IP uniques. En somme, la moitié des serveurs Exchange encore détectables comme affectés par les vulnérabilités Proxylogon serait déjà compromise. Selon nos confrères de Bleeping Computer, l’exploitation de ses vulnérabilités pourrait avoir été mise à profit pour la cyberattaque de ransomware contre Acer.

Du côté de la vulnérabilité CVE-2021-22986 – plus récente, mais pas moins sérieuse – qui touche les systèmes Big-IP de F5, la situation apparaît plus préoccupante, et plus trouble également. Des démonstrateurs d’exploitation sont disponibles, mais tant Shodan qu’Onyphe semblent rencontrer des difficultés pour énumérer les systèmes vulnérables exposés. En France, il faut compter avec près de 14 000 systèmes Big-IP de F5 en production, selon les données de BinaryEdge.

Dès le 19 mars, Rich Warren, consultant principal en sécurité de NCC Group, indiquait observer des exploitations réussies de la vulnérabilité. L’unité 42 de Palo Alto Networks ne disait pas autre chose, évoquant le déploiement d’une variante de Mirai. Le chercheur Germán Fernández indiquait quant à lui hier observer des déploiements du mineur de cryptopépettes XMRig via l’exploitation de la vulnérabilité CVE-2021-22986. Mais pas uniquement : selon lui, il faut compter sur au moins deux campagnes distinctes.