Accueil Cybersécurité Cyberattaque de réseaux de groupes de défense américains – Nouvelle faille du...

Cyberattaque de réseaux de groupes de défense américains – Nouvelle faille du VPN de Pulse Secure

Une nouvelle faille dans Pulse Secure Connect est à l’origine de l’attaque de hackers chinois, utilisée pour pénétrer dans les réseaux informatiques d’entreprises américaines de défense. Plusieurs autres failles, révélées antérieurement, devraient également être mise à jour.   

Les utilisateurs de Pulse Secure VPN doivent corriger un contournement d’authentification récemment révélé qui permet à un utilisateur non authentifié d’exécuter des fichiers à distance sur la passerelle Pulse Secure Connect, prévient Ivanti qui a finalisé le rachat de la société Pulse Secure en décembre 2020. Cette faille, CVE-2021-22893, qui a une note critique de 10, n’aura pas de patch complet avant début mai, mais peut être atténuée en téléchargeant une solution de contournement à partir de Pulse Secure, a indiqué à ComputerWeekly Phil Richard, chief security officer chez Ivanti.
Sur son blog, Pulse Secure invite les clients a c
onsulter l’Avis de sécurité SA44784 (CVE-2021-22893) pour plus d’informations.

Mettre à jour aussi des failles précédentes

Hormis cette faille, Ivanti, auquel Pulse Secure appartient, exhorte les utilisateurs à mettre à jour leur VPN alors que d’autres vulnérabilités ont été découvertes dans les années précédentes :  CVE-2020-8243, CVE-2020-8260 et CVE-2019-11510, rendue publique en août 2029. Ainsi en octobre 2020, le spécialiste en cybersécurité CyberArk informait qu’une liste de noms d’utilisateurs, de mots de passe et d’adresses IP de plus de 900 serveurs VPN Pulse Secure avait été publiée en ligne. Cette liste contenait également les clés SSH associées à chaque serveur, une liste de tous les utilisateurs locaux et leurs empreintes de mots de passe, les détails du compte administrateur, les cookies de sessions VPN et les dernières connexions à ces dispositifs. Comment les cybercriminels avaient-ils obtenu ces informations ? « La liste divulguée mettait également en évidence la version de firmware de chaque serveur VPN et il s’est avéré que tous les serveurs concernés exécutaient une version ancienne exposée à une vulnérabilité bien connue : CVE-2019-11510« , expliquait alors Ketty Cassamajor, responsable Avant-Vente Europe du Sud chez CyberArk. « Selon les chercheurs, les cybercriminels à l’origine de cette compromission auraient scanné toutes les adresses internet IPv4, puis exploité la vulnérabilité afin d’accéder aux données des serveurs et systèmes sensibles de chaque entreprise. L’horodatage a permis de constater que les informations volées ont été recueillies entre le 24 juin et le 8 juillet 2020. »

Les organisations touchées dans cette nouvelle affaire n’ont-elles été touchées que par la nouvelle faille et/ou par de plus anciennes? On peut toujours se poser la question, alors que l’on sait que nombre d’entreprises ne mettent pas systématiquement en place ces patches de sécurité… Pulse Secure invite les clients à utiliser son outil Pulse Security Integrity Checker pour évaluer les installations de leurs produits.

L’utilisation des serveurs VPN a grimpé en flèche avec l’augmentation du travail à distance, alors que les employés et les intervenants externes les utilisent pour accéder aux comptes administrateurs et aux applications confidentielles de l’entreprise. L’an dernier, en mars 2020, une étude Statista indiquait une augmentation de 124%. Et les cybercriminels ont saisi cette opportunité pour lancer des cyberattaques via ces dispositifs.

De nombreux experts plaident aujourd’hui pour une approche Zero Trust, avec un accès progressif à un système critique, pour éviter un accès à l’ensemble du réseau.