Vulnérabilités : avis de tempête sur les équipements d’extrémité réseau

Fin mai, à l’occasion de la publication du rapport FortiGuard Labs sur les menaces cyber au second semestre 2023, Fortinet alertait : les cybercriminels ont su exploiter les nouvelles vulnérabilités 43 % plus rapidement qu’au premier semestre de l’an dernier. 

Concrètement, selon ce rapport, « les attaques démarrent, en moyenne, 4,76 jours après la divulgation publique de nouveaux exploits ».

Le nombre de vulnérabilités à la sévérité critique révélées en 2023 n’y est peut-être pas pour rien : elles représentent 16,1 % du total, rien de moins que 4 646. 

Surtout, plusieurs de ces vulnérabilités constituaient un mets de choix pour les cybercriminels : elles affectaient des équipements d’extrémité réseau, notamment des appliances VPN SSL, des points d’entrée potentiellement privilégiés sur le système d’information. 

Fin 2019, Travelex en avait fait l’amère expérience, touché par une cyberattaque avec ransomware amorcée par l’exploitation de la vulnérabilité CVE-2019-11510. Et c’était loin d’être la dernière victime de l’exploitation de vulnérabilités comparables affectant des équipements d’extrémité réseau.

L’Agence nationale de la sécurité des systèmes d’information (Anssi) vient de dresser, par le biais du CERT-FR, un inventaire de ces vulnérabilités sur un an, depuis le premier juin 2023 : 

• Juin 2023 : vulnérabilité dans les produits Fortinet ;
• Juin 2023 : vulnérabilité dans Barracuda Email Security Gateway Appliance ;
• Juillet 2023 : vulnérabilité dans Citrix Netscaler ADC et NetScaler Gateway ;
• Octobre 2023 : vulnérabilité dans Citrix Netscaler ADC et NetScaler Gateway ;
• Décembre 2023 : vulnérabilité dans Barracuda Email Security Gateway ;
• Janvier 2024 : multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways ;
• Février 2024 : vulnérabilité dans Fortinet FortiOS ;
• Avril 2024 : vulnérabilité dans Palo Alto Networks GlobalProtect ;
• Mai 2024 : vulnérabilité dans les produits Check Point.

À cette occasion, l’Anssi explique que « l’année 2023 et le début de l’année 2024 ont été marqués par de nombreux incidents concernant des équipements de sécurité présents notamment en bordure de réseau. Ces incidents ont pour origine l’exploitation d’une ou plusieurs vulnérabilités critiques dans des pare-feu, passerelles VPN ou encore passerelles de filtrage au sens large ».

L’exercice ne tient pas au hasard et apparaît justifié par la réalité de la menace : « compte tenu des impacts qu’ont eus les exploitations de ces vulnérabilités, le CERT-FR propose un retour d’expérience sur la gestion de ces vulnérabilités et des incidents associés ».

L’Anssi est loin d’être isolée dans cette démarche. Ainsi, le Centre National de la Cyberécurité (NCSC) des Pays-Bas a récemment révélé une campagne de cyberespionnage soutenue par l’État chinois, ciblant les systèmes FortiGate affectés par la vulnérabilité CVE-2022-42475. Exploitant cette dernière alors qu’elle était encore inédite, cette campagne a compromis au moins 20 000 systèmes dans le monde, y compris des organisations gouvernementales, internationales et de défense. Le NCSC souligne l’importance de sécuriser les dispositifs d’extrémité de réseau – ou edge – et d’adopter le principe « assume breach » pour atténuer ces menaces. Autrement dit : considérer qu’il y a eu compromission et ne pas se contenter d’appliquer les correctifs une fois qu’ils sont rendus disponibles.

De son côté, le NCSC norvégien n’y va pas par quatre chemins : depuis la mi-mai, il recommande purement et simplement d’abandonner les VPN SSL et WebVPN au profit de VPN IPSec avec IKEv2, d’ici la fin 2025. La raison est toute simple : « la sévérité des vulnérabilités [connues à ce jour, N.D.L.R.] et l’exploitation répétée des vulnérabilités de ce type de vulnérabilités ».

Entre-temps, le NCSC de Norvège conseille les mesures d’atténuation suivantes de « veiller à ce que la solution VPN enregistre les logs dans un système centralisé et faciliter la détection et le suivi rapide des activités suspectes », mais également de « n’autoriser que le trafic entrant en provenance des pays requis (geofencing) » et enfin de « bloquer l’accès à partir d’infrastructures non sécurisées telles que les services d’anonymisation (fournisseurs de VPN et nœuds de sortie Tor) et les fournisseurs de VPS ».