La CISA analysera les réseaux d’agences à la recherche d’appareils connectés à Internet à risque en vertu de la dernière directive

La Cybersecurity and Infrastructure Security Agency analysera les réseaux des agences fédérales pour les aider à identifier les «interfaces de gestion en réseau» connectées au Web qui sont devenues une vulnérabilité clé dans les récents cyber-exploits.

La CISA a présenté ses plans dans le cadre d’une directive opérationnelle contraignante publiée aujourd’hui. Il vient à la suite de un avertissement à la fin du mois dernier de Microsoft — plus tard amplifié par CISA et d’autres agences fédérales – qu’un groupe de piratage présumé parrainé par l’État chinois, connu sous le nom de “Volt Typhoon”, utilise des outils d’administration de réseau pour infiltrer les réseaux d’infrastructures critiques.

La directive de la CISA, appelée BOD 23-02 « Atténuation des risques liés aux interfaces de gestion exposées à Internet », décrit comment “les récentes campagnes de menaces soulignent le grave risque pour l’entreprise fédérale posé par des périphériques réseau mal configurés”.

Les appareils concernés comprennent les routeurs, les commutateurs, les pare-feu et d’autres interfaces qui sont gérés à distance sur le Web.

“Une sécurité inadéquate, des configurations erronées et des logiciels obsolètes rendent ces appareils plus vulnérables à l’exploitation”, déclare la directive CISA. “Le risque est encore aggravé si les interfaces de gestion des appareils sont directement connectées et accessibles depuis l’Internet public.”

Une fois que la CISA a terminé ses analyses, elle prévoit d’informer les agences de toute découverte concernant les interfaces connectées au Web.

Les agences disposent alors de 14 jours après avoir été notifiées par la CISA, ou après avoir découvert une interface accessible par Internet par elles-mêmes, pour “supprimer l’interface d’Internet en la rendant accessible uniquement à partir d’un réseau interne d’entreprise”, indique la directive.

Une autre option, que CISA décrit comme «l’action préférée», consiste à déployer des fonctionnalités dans le cadre d’une architecture zéro confiance «qui applique le contrôle d’accès à l’interface via un point d’application de la politique distinct de l’interface elle-même».

La CISA fournira également aux agences “une interface de rapport et des modèles de plan de remédiation standard si les efforts de remédiation dépassent les délais requis”, ajoute la directive.

La CISA note également que la directive ne s’applique pas aux “applications et interfaces Web utilisées pour gérer les offres des fournisseurs de services cloud, y compris, mais sans s’y limiter, les interfaces de programmation d’applications ou les portails de gestion”.

Les inquiétudes grandissent depuis au moins plusieurs mois quant à la manière dont les pirates peuvent tirer parti des interfaces de gestion connectées au Web pour accéder furtivement aux réseaux.

En janvier, la société de renseignement sur les menaces Mandiant a publié un avis détaillant comment il suivait une “campagne présumée de connexion avec la Chine” qui aurait exploité une vulnérabilité de jour zéro dans les systèmes d’exploitation de sécurité Fortinet.

Mandiant a averti que l’incident “poursuit le modèle chinois” d’exploitation des appareils connectés au Web comme les pare-feu et autres interfaces de sécurité gérées.

Et en avril, CISA et d’autres agences partenaires ont publié un avis détaillant comment un groupe d’espionnage russe présumé avait profité d’une vulnérabilité connue pour accéder aux routeurs Cisco et déployer des logiciels malveillants.

Matt Hayden, ancien responsable de la CISA et actuellement cadre chez General Dynamics Information Technology, a déclaré que la cyber-agence avait déjà travaillé sur un effort dédié pour remédier aux vulnérabilités des interfaces de gestion connectées au Web au cours des derniers mois.

“Ils ont commencé à déterminer quels pourraient être les détails à ce sujet il y a quelques mois et ont commencé à interroger les différents réseaux pour voir où se trouvaient ces appareils”, a déclaré Hayden à Federal News Network. «Et puis Volt Typhoon se produit. Et nous commençons à voir des consoles de gestion pour les dispositifs de sécurité être directement abusées et attribuées publiquement au gouvernement chinois par le gouvernement fédéral.

Dans son blog du 24 mai, Microsoft a décrit comment Volt Typhoon aurait ciblé des cibles d’infrastructures critiques à Guam et « ailleurs aux États-Unis » depuis la mi-2021.

“Dans cette campagne, les organisations concernées couvrent les secteurs des communications, de la fabrication, des services publics, des transports, de la construction, maritime, gouvernemental, des technologies de l’information et de l’éducation”, indique le blog. “Le comportement observé suggère que l’acteur de la menace a l’intention de faire de l’espionnage et de maintenir l’accès sans être détecté aussi longtemps que possible.”

Microsoft a également déclaré que Volt Typhoon obtient un accès initial via des appareils Fortinet connectés à Internet.

CISA a déjà ajouté plusieurs correctifs Fortinet au Catalogue des vulnérabilités exploitées connuesce qui signifie que les agences sont tenues de les traiter.

Mais Hayden a noté que le dernier BOD ordonne aux agences de supprimer ces appareils d’Internet ou de fournir les protections supplémentaires “zéro confiance”, qu’un correctif ait été appliqué ou non.

“Ainsi, quelle que soit l’application suivante, qu’il s’agisse d’une vulnérabilité Fortinet ou de quelque chose d’autre qui s’ajoute à cette liste exploitée connue, nous voulons nous assurer que nous avons un tampon, et nous réduisons le risque de cette cascade, », a déclaré Hayden. «À ce stade, le gouvernement fédéral dit essentiellement:« Ne connectez aucun de ceux-ci au Far West », simplement parce qu’il y aura des vulnérabilités inconnues qui viendront à l’avenir avec ceux-ci, et l’exploit est trop grand .”

Alors que seules les agences civiles fédérales sont tenues de suivre la directive et ses directives de mise en œuvre, la CISA note que “d’autres entités peuvent trouver le contenu utile”.

“Tous ces BOD sont utilisés pour vraiment signaler à la communauté des infrastructures critiques et à tout le monde dans le monde de la sécurité, ‘Hé, nous n’avons que le pouvoir de dire aux autorités fédérales de le faire. Tout le monde le fait aussi vite que possible », a déclaré Hayden.