Des groupes de hackers enchaînent les bogues VPN et Windows pour attaquer les réseaux du gouvernement américain
Certaines attaques ont réussi et les intrus ont obtenu «un accès non autorisé aux systèmes de soutien aux élections». Les pirates informatiques ont eu accès aux réseaux gouvernementaux en combinant des bogues VPN et Windows, ont déclaré le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) dans une alerte de sécurité conjointe publiée vendredi. Les attaques ont visé les réseaux gouvernementaux fédéraux et étatiques, locaux, tribaux et territoriaux (SLTT). Des attaques contre des réseaux non gouvernementaux ont également été détectées, ont indiqué les deux agences.
« CISA est au courant de certains cas où cette activité a abouti à un accès non autorisé aux systèmes de soutien aux élections; cependant, CISA n’a aucune preuve à ce jour que l’intégrité des données électorales a été compromise », indique l’alerte de sécurité.
« Bien qu’il ne semble pas que ces cibles soient sélectionnées en raison de leur proximité avec les informations électorales, il peut y avoir un certain risque pour les informations électorales hébergées sur les réseaux gouvernementaux », ont également ajouté des responsables.
Attaque les bogues de fortinet vpn et windows zerologon enchaînés
Selon l’alerte conjointe, les attaques observées combinaient deux failles de sécurité appelées CVE-2018-13379 et CVE-2020-1472.
CVE-2018-13379 est une vulnérabilité du VPN Fortinet FortiOS Secure Socket Layer (SSL), un serveur VPN sur site conçu pour être utilisé comme une passerelle sécurisée pour accéder aux réseaux d’entreprise depuis des sites distants.
La CVE-2018-13379, révélée l’année dernière, permet aux attaquants de télécharger des fichiers malveillants sur des systèmes non corrigés et de prendre le contrôle des serveurs VPN Fortinet.
CVE-2020-1472, également connu sous le nom de Zerologon, est une vulnérabilité dans Netlogon, le protocole utilisé par les stations de travail Windows pour s’authentifier auprès d’un serveur Windows s’exécutant en tant que contrôleur de domaine.
La vulnérabilité permet aux attaquants de prendre le contrôle des contrôleurs de domaine, aux utilisateurs de serveurs de gérer des réseaux internes / d’entreprise entiers et contient généralement les mots de passe de tous les postes de travail connectés.
CISA et le FBI affirment que les attaquants combinent ces deux vulnérabilités pour détourner les serveurs Fortinet, puis pivoter et prendre le contrôle des réseaux internes à l’aide de Zerologon.
«Des acteurs ont ensuite été observés en utilisant des outils d’accès à distance légitimes, tels que VPN et Remote Desktop Protocol (RDP), pour accéder à l’environnement avec les informations d’identification compromises», ont également ajouté les deux agences.
L’alerte conjointe n’a pas fourni de détails sur les attaquants, sauf pour les décrire comme des «acteurs de menace persistante avancée (APT)».
Le terme est souvent utilisé par les experts en cybersécurité pour décrire les groupes de piratage parrainés par l’État. La semaine dernière, Microsoft a déclaré avoir observé que l’Iranien APT Mercury (MuddyWatter) exploitait le bug Zerologon lors d’attaques récentes, un acteur de la menace connu pour avoir ciblé les agences gouvernementales américaines dans le passé.
Risque de hackers enchaînant différents bugs VPN
La CISA et le FBI ont recommandé aux entités du secteur privé et public américain de mettre à jour leurs systèmes pour corriger les deux bogues, pour lesquels des correctifs sont disponibles depuis des mois.
En outre, CISA et le FBI ont également averti que les pirates pourraient échanger le bogue Fortinet contre toute autre vulnérabilité dans les produits VPN et de passerelle qui ont été divulguées au cours des derniers mois et qui fournissent un accès similaire.
Cela inclut les vulnérabilités dans:
- VPN d’entreprise Pulse Secure «Connect» (CVE-2019-11510)
- Serveurs VPN « Global Protect » de Palo Alto Networks (CVE-2019-1579)
- Serveurs « ADC » Citrix et passerelles réseau Citrix (CVE-2019-19781)
- Serveurs de gestion d’appareils mobiles MobileIron (CVE-2020-15505)
- F5 BIG-IP Équilibreurs de réseau (CVE-2020-5902)
Toutes les vulnérabilités répertoriées ci-dessus fournissent un «accès initial» aux serveurs souvent utilisés en périphérie des réseaux d’entreprise et gouvernementaux. Ces vulnérabilités peuvent également être facilement enchaînées avec le bogue Windows Zerologon pour des attaques similaires à celles des intrusions Fortinet + Zerologon observées par CISA.
Pour plus d’information >>
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram