Ces vulnérabilités qui nécessitent plus qu’un correctif

De nombreuses vulnérabilités sont, ou ont été, exploitées par des cybercriminels pour mettre un pied dans le système d’information de victimes en devenir. Appliquer les correctifs ne suffit pas pour se protéger.

La vulnérabilité CVE-2019-19781, dite Shitrix, a fait les gros titres début 2020. Mais elle a continué à faire parler d’elle bien après. Elle a notamment été exploitée pour l’intrusion initiale sur le système d’information de Dassault Falcon Jet, nous avaient indiqué les attaquants, du groupe Ragnar Locker. Avant elle, la vulnérabilité CVE-2019-11510 des VPN Pulse Secure, avait également largement fait parler d’elle, activement exploitée malgré la disponibilité de correctifs depuis la fin avril 2019.

Récemment, un acteur malveillant a rendu gratuitement accessible une liste d’identifiants de comptes utilisateurs obtenus en exploitant une vulnérabilité ayant affecté les serveurs VPN SSL Fortinet. Près de 3 000 systèmes en France sont concernés. Parmi eux, nous en avons trouvé un lié à Demarne Frères, contre lesquels le groupe LV a revendiqué une attaque avec ransomware au printemps.

Allan Liska, du CSIRT de Recorded Future, a dressé un inventaire exhaustif des vulnérabilités utilisées pour des intrusions initiales. Les vulnérabilités mentionnées plus haut y figurent en bonne place. Mais elles ne sont pas seules. Il faut en ajouter d’autres, ayant concerné les serveurs Exchange de Microsoft, mais aussi des équipements SonicWall, F5, Palo Alto Networks, Sophos, ou encore Qnap, notamment.

La majorité de ces vulnérabilités ont un point commun : appliquer les correctifs disponibles n’est pas suffisant pour éloigner la menace. Ces vulnérabilités peuvent avoir été utilisées pour collecter les identifiants de comptes utilisateurs. Ceux-ci s’avèrent dès lors compromis. Les assaillants peuvent s’être arrêtés là, ou s’être invités plus avant, afin de s’assurer une persistance furtive dans le système d’information.

Fortinet l’a bien expliqué à ses clients, dans une note d’information hebdomadaire sur l’état de la menace. Là, l’équipementier a rappelé « que, si à un moment, votre organisation a exploité l’une des versions affectées [par la vulnérabilité exploitée pour collecter ces identifiants, N.D.L.R.], et même si vous avez mis à jour vos équipements, vous devez également procéder à la réinitialisation recommandée des mots de passe, après la mise à jour ». Car sans cela, « vous pouvez rester vulnérables après la mise à jour, si les identifiants de vos utilisateurs ont été préalablement compromis ».

Plus loin, l’équipementier a renouvelé ses recommandations : désactiver les accès VPN, puis mettre à jour les équipements, réinitialiser les mots de passe des comptes utilisateurs, et déployer l’authentification à facteurs multiples – « qui peut aider à réduire le risque de détournement d’identifiants compromis, aussi bien maintenant qu’à l’avenir ». Et de suggérer en outre de notifier les utilisateurs concernés, pour les inviter à modifier leurs mots de passe au-delà, au cas où ils auraient tendance à les réutiliser.

Pour approfondir sur Gestion des vulnérabilités

Close