Ransomware : quelles vulnérabilités sont exploitées, et quand ?

Nouvel An 2020. Le système d’information de Travelex est mis à l’arrêt. Le spécialiste du change de devises a été victime d’une cyberattaque impliquant l’enseigne REvil. Celle-ci a été conduite en exploitant une vulnérabilité dans un équipement d’extrémité réseau, un serveur VPN Pulse Secure. Elle était publique et corrigée depuis avril 2019.

Aussi emblématique qu’il soit, ce cas sera loin d’être le dernier d’une liste qui continue de s’allonger de mois en mois. Ces vulnérabilités nécessitent généralement plus que l’application d’un correctif, et la menace d’exploitation augmente rapidement à mesure que le temps passe. Et c’est sans compter avec ceux qui exploitent les vulnérabilités alors qu’elles sont encore inédites, au stade de 0day, ce dont le groupe Cl0p s’est fait une spécialité.

Mais les conversations internes au gang de rançongiciels Black Basta, ayant fuité en février, fournissent de nouveaux éclairages sur la manière dont les cybercriminels sont attentifs à ces vulnérabilités, comment ils cherchent à les exploiter, et avec quelle rapidité.

Patrick Garry, de VulnCheck, n’a pas traîné pour dresser l’inventaire des vulnérabilités mentionnées dans les échanges de Black Basta. Elles sont au nombre de 62. Une large majorité (85 %) figure au sein des listes de vulnérabilités connues pour être activement exploitées, dont 71 % sur celle de l’agence américaine de cybersécurité et de sécurité des infrastructures (Cisa). 

De leur côté, les équipes de GreyNoise relèvent que certaines de ces vulnérabilités – dont certaines remontent à 2021 – font toujours, actuellement, l’objet de tentatives d’exploitation. 

• CVE-2021-26855 (Microsoft Exchange, ProxyLogon)

Cette vulnérabilité a fait l’objet d’un correctif hors bande par Microsoft début mars 2021. À cette époque, elle est déjà exploitée pour le déploiement de web shells. Une activité attribuée à un groupe APT lié à la Chine. C’est Tramp qui en parle à ses collègues le 27 octobre 2023, indiquant qu’un tiers utilisant le pseudonyme « LORD1 » propose de vendre du code d’exploitation. À cette date est également mentionnée la vulnérabilité CVE-2022-41082 (Exchange, surnommée ProxyNotShell).

• CVE-2023-22515 (Atlassian Confluence) et CVE-2023-42793 (JetBrains)

Mais LORD1 a du « plus frais ». Toujours le 27 octobre 2023, il propose des codes d’exploitation pour ces deux vulnérabilités. Des correctifs sont toutefois disponibles, depuis plus de trois semaines, et toutes deux sont connues pour être déjà exploitées dans le cadre de cyberattaques, notamment avec rançongiciel.

• CVE-2023-20198 (Cisco IOS XE)

Dix jours plus tôt, le 17 octobre 2023, Tramp évoque cette vulnérabilité affectant Cisco IOS XE. Elle est connue publiquement depuis quelques jours. Mais la veille, l’équipementier venait d’indiquer qu’elle était activement exploitée, vraisemblablement depuis au moins 4 jours. Black Basta ne semble pas compter parmi les premiers à l’exploiter : il semble enthousiaste à l’idée de pouvoir commencer à le faire.

• CVE-2023-36845 (Juniper Network Junos OS)

C’est en novembre 2023 que les Black Basta commencent à évoquer cette vulnérabilité. Un tiers externe au groupe semble disposer de code d’exploitation. L’enchaînement de cette vulnérabilité avec une autre, la CVE-2023-36846, permet de provoquer une exécution de code arbitraire à distance. C’est connu et démontré publiquement depuis deux mois déjà.

• CVE-2023-4966 (CitrixBleed)

Sans surprise, Black Basta s’intéresse vite à CitrixBleed, commençant à l’évoquer le 22 novembre 2023. L’occasion pour le gang de relever qu’un concurrent – LockBit – l’exploite déjà. Et l’affidé nn de chercher des codes d’exploitation. Et tramp de se laisser aller à rêver d’une vulnérabilité 0day pour les systèmes Citrix. Il demande en tout cas un inventaire complet de ces systèmes exposés directement sur Internet.

• CVE-2023-6875 (SMTP Wordpress)

Ce n’est que le 9 février 2024 que tramp commence à discuter de cette vulnérabilité. LORD1 semble à nouveau lui proposer un code d’exploitation. Son but : pouvoir récupérer les identifiants de comptes email. Le 15 février, ils trouveront un démonstrateur du GitHub.

• CVE-2024-21762 (Fortiner FortiOS)

Le pentester nn, gardant manifestement un œil sur les vulnérabilités exploitables, l’évoque dès le 9 février. Elle est connue pour être potentiellement exploitée. En mars, l’activité d’exploitation progresse. Mais les échanges internes à Black Basta ne permettent pas de déterminer si le gang dispose effectivement de quoi l’exploiter. 

• CVE-2023-29357 (Microsoft SharePoint Server)

Cette vulnérabilité est connue depuis l’automne 2023. Les membres de Black Basta ne semblent pas encore en mesure de l’exploiter lorsqu’ils en discutent pour la première fois fin mars 2024 : Ugway a repéré un démonstrateur d’exploitation.

• CVE-2022-27925 (Zimbra)

Le 3 avril 2024, « Th1nkAb0ut » propose des accès initiaux au gang. Il s’agit de serveurs Zimbra compromis en exploitant les vulnérabilités CVE-2022-27925 et CVE-2022-41352. Tramp partage un code d’exploitation permettant de déployer un shell inverse. Celui qui utilise le pseudonyme n3auxaxl commence à chercher des hôtes affectés dans la foulée.

• CVE-2024-27198 (JetBrains TeamCity)

Le 8 avril, n3auxaxl évoque cette vulnérabilité. Elle est connue pour être activement exploitée depuis le début du mois de mars. Les échanges internes à Black Basta ne permettent toutefois pas de confirmer son exploitation par le groupe ; juste un intérêt pour un exploit « qui peut être essayé ».

• CVE-2024-21378 (Microsoft Outlook)

Le 11 avril, un démonstrateur d’exploitation de cette vulnérabilité affectant Microsoft Outlook attire l’attention de tramp qui demande aussitôt à n3auxaxl de se pencher dessus. Elle a été corrigée dans le patch Tuesday de février 2024.

• CVE-2024-3400 (Palo Alto Networks PAN-OS)

Le 15 avril, l’attention des Black Basta se tourne ailleurs : sur cette vulnérabilité particulièrement prometteuse pour eux. Elle est déjà connue pour faire l’objet d’une exploitation active, en phase 0day. Tramp et n3auxaxl accusent donc un léger retard, mais ils n’en travaillent pas moins à l’exploitation de la vulnérabilité. Tramp fournira une liste d’hôtes à attaquer et envisagera l’achat de code d’exploitation. Mais N3auxaxl écrira le sien. Le 17 avril, tramp confirmera que le gang en dispose.

• CVE-2024-26169 (Microsoft Windows)

Les Black Basta discutent de cette vulnérabilité entre la fin avril et le début du mois de mai 2024, sans que les conversations permettent de conclure à son exploitation par le gang. En juin, Symantec estimait toutefois que Black Basta l’avait exploitée avant qu’elle ne soit corrigée par Microsoft à l’occasion du patch Tuesday de mars. Le chercheur Kevin Beaumont a cependant trouvé la trace de discussions relatives à un exploit, apparemment fonctionnel, pour une vulnérabilité correspondante... fin novembre 2023.

• CVE-2024-1709 (ConnectWise ScreenConnect)

C’est nn qui mentionne cette vulnérabilité fin février 2024. Il fait référence à un billet Huntress évoquant une exploitation active, impliquant notamment LockBit. Mais également une attaque en cours durant laquelle un tiers est observé connecté… via ScreenConnect. Plus tard, début mai, un certain « lapa » reviendra sur le sujet, demandant si Black Basta dispose du code d’exploitation. Il se dira ouvert à son achat s’il est en vente. C’est une surprise, rétrospectivement : Trend Micro estimait, fin février 2024, que Black Basta exploitait déjà cette vulnérabilité à cette période.

• CVE-2024-24919 (Check Point VPN)

Tramp et le pentester yy évoquent cette vulnérabilité autour du 4 juin 2024. Les échanges suggèrent qu’ils disposent d’un code d’exploitation effectif. Check Point l’avait rendue publique fin mai. Le premier juin, la CDU allemande s’est dit victime d’une cyberattaque conduite en exploitant cette vulnérabilité.

Cet examen fait ressortir une attention continue sur les vulnérabilités susceptibles d’être exploitées pour conduire des cyberattaques. L’enseigne Black Basta ne semble toutefois pas avoir effectivement cherché à en exploiter un nombre conséquent entre septembre 2023 et septembre 2024.