Des pirates chinois attaquent des produits non corrigés de Microsoft, Sophos, Fortinet et Ivanti Mathew J. Schwartz (euroinfosec) • 24 janvier 2025
Image : Shutterstock
Les pirates informatiques chinois qui ont subrepticement accédé aux réseaux de télécommunications américains et autres exploitaient régulièrement des failles connues dans leur équipement réseau que les victimes n’avaient pas réussi à corriger, ont prévenu les experts.
Voir aussi : Découvrir les risques grâce à la diligence raisonnable sociale
La société de cybersécurité Tenable a déclaré que les données d’analyse suggèrent que sur les 30 000 serveurs Microsoft Exchange potentiellement menacés par l’une des failles que le groupe exploite régulièrement, 91 % des systèmes vulnérables ne sont toujours pas corrigés, malgré un correctif publié en 2021.
Le groupe à l’origine de la campagne d’attaque, lié au gouvernement chinois et suivi sous le nom de Salt Typhoon – ainsi que Earth Estries, FamousSparrow, GhostEmperor et UNC2286 – a été lié à des intrusions dans neuf télécommunications américaines ainsi que dans des dizaines d’autres pays.
Le 17 janvier, le Département du Trésor américain a identifié et sanctionné une société chinoise privée de piratage informatique pour son implication dans la campagne, ainsi qu’un ressortissant chinois lié à l’agence de renseignement civile chinoise, le ministère de la Sécurité d’État.
Des détails publics sur les tactiques, techniques et procédures du groupe continuent d’être révélés. “Salt Typhoon obtient généralement un premier accès à ses réseaux de victimes en ciblant les actifs externes à l’aide de vulnérabilités connues”, dit Scott Caveza, ingénieur de recherche pour la réponse en matière de sécurité chez Tenable, dans un article de blog publié jeudi.
Une liste non exhaustive de failles connues pour être exploitées par Salt Typhoon, telle que détaillée par Tenable, comprend :
- Vulnérabilité de falsification de requête côté serveur de Microsoft Exchange Server, alias ProxyLogon, CVE-2021-26855;
- Vulnérabilité d’injection de code du pare-feu Sophos, CVE-2022-3236;
- FortiClient Enterprise Management Server – FortiClientEMS – Vulnérabilité d’injection SQL, CVE-2023-48788;
- Vulnérabilité d’injection de commandes Ivanti Connect Secure et Ivanti Policy Secure, CVE-2024-21887;
- Vulnérabilité de contournement de l’authentification sécurisée Ivanti Connect Secure et Ivanti Policy, CVE-2023-46805.
Les trois premiers CVE ont un score CVSS de 9,8 sur 10, tandis que le quatrième a un score de 9,1. Les chiffres indiquent que les failles sont « graves » et que les vulnérabilités peuvent être exploitées à distance pour prendre le contrôle d’un appareil, permettant potentiellement aux attaquants de se déplacer vers d’autres parties du réseau.
“Parmi ces cinq CVE, quatre ont été exploitées en tant que vulnérabilités Zero Day”, a déclaré Tenable. “Bien qu’on ne sache pas si Salt Typhoon a exploité l’une de ces failles de type Zero Day, le niveau de sophistication du groupe suggère qu’il a la capacité technique de développer et d’exploiter des failles Zero Day dans ses attaques.”
Soulignant le fait qu’une bonne cyberdéfense protège contre une variété d’attaquants et d’intentions – qu’il s’agisse de groupes d’États-nations menant du cyberespionnage ou de perturbations, de groupes criminels à la recherche de profits illicites ou de toute personne ayant des intentions hacktivistes – Tenable a déclaré que quatre des cinq CVE ont a également été liée à d’autres attaques menées par des groupes d’États-nations et de ransomwares.
Lacunes des correctifs
Malgré la menace posée par Salt Typhoon et ses semblables, de nombreuses organisations n’ont pas encore corrigé les vulnérabilités, 91 % des 30 000 systèmes menacés par ProxyLogon ne semblant pas corrigés, a déclaré Tenable. La meilleure nouvelle vient du fait que parmi les deux vulnérabilités Ivanti mises en évidence, 92 % des systèmes vulnérables semblent avoir été corrigés.
Sans citer de CVE spécifiques, CISA a également averti que Salt Typhoon cible les équipements Cisco et a exhorté les utilisateurs à verrouiller leur équipementy compris par désactiver “la fonctionnalité de chargement automatique Smart Install sur tous les périphériques réseau.”
La patience et la persévérance des attaquants signifient « qu’il est vital que les organisations mettent régulièrement à jour les appareils destinés au public et atténuent rapidement les vulnérabilités connues et exploitées », a déclaré Caveza de Tenable. “Salt Typhoon est connu pour maintenir une présence furtive sur les réseaux de victimes et rester indétectable pendant une période de temps significative.”
Les sociétés de télécommunications américaines qui auraient été victimes du groupe comprenaient AT&T, Charter Communications, Consolidated Communications, Lumen Technologies, T-Mobile, ainsi que Verizon Communications et Windstream. Les responsables ont déclaré que certains, mais pas tous, avaient réussi à expulser les attaquants de leur infrastructure.
Le mois dernier, Anne Neuberger, alors conseillère adjointe à la sécurité nationale pour la cybersécurité et les technologies émergentes, a déclaré qu’un seul groupe chinois avancé de menaces persistantes avait ciblé le président élu de l’époque, Donald Trump, le vice-président élu JD Vance et d’autres individus impliqués dans des activités de haut niveau. activité politique », a volé de grandes quantités de métadonnées et infiltré des systèmes de gestion des écoutes téléphoniques autorisées par les tribunaux.
Appels à améliorer les défenses des télécommunications
Certaines sociétés de télécommunications ne disposent peut-être pas de défenses suffisamment robustes pour se prémunir contre ce type d’attaques, qui persistent pendant des mois avant d’être découvertes. De hauts responsables de l’administration Biden ont critiqué la mauvaise posture de certaines télécommunications en matière de cybersécurité, suggérant que cela a exacerbé l’impact des attaques de piratage.
“Les Chinois faisaient très attention à leurs techniques. Ils effaçaient les journaux, et dans de nombreux cas, les entreprises ne tenaient pas de journaux adéquats”, a déclaré Neuberger aux journalistes en décembre 2024. “Les Chinois faisaient très attention à leurs techniques. Ils effaçaient les journaux, et dans de nombreux cas, les entreprises ne tenaient pas de registres adéquats. »
Dans les derniers jours de l’administration Biden, de hauts responsables ont déclaré qu’il fallait faire davantage. “À la lumière des vulnérabilités révélées par Salt Typhoon, nous devons prendre des mesures pour sécuriser nos réseaux”, dit Jessica Rosenworcel la semaine dernière, alors qu’elle était encore présidente de la Commission fédérale des communications.
“Nos règles existantes ne sont pas modernes”, a déclaré Rosenworcel, qui a démissionné lundi lorsque Donald Trump a entamé son deuxième mandat de président. “Il est temps de les mettre à jour pour refléter les menaces actuelles afin que nous ayons une chance de garantir que les cyberattaques parrainées par l’État ne réussissent pas. Le moment est venu d’agir. Nous n’avons pas le luxe d’attendre.”
L’une de ses dernières actions fut un décision déclaratoire demander aux télécommunications de créer des plans de cybersécurité et de gestion des risques de la chaîne d’approvisionnement.
L’action qui pourrait suivre n’est pas claire. L’administration Trump a dissous lundi tous les comités consultatifs du Département de la sécurité intérieure, y compris le Comité d’examen de la cybersécurité, composé uniquement de bénévoles. Inspiré du National Transportation Safety Board, qui enquête sur les accidents de l’aviation civile, le mandat du CSRB créé par Biden a été « d’examiner et d’évaluer les cyberincidents importants et de formuler des recommandations concrètes qui entraîneraient des améliorations dans les secteurs privé et public ».
Dans un lundi lettreLe DHS a déclaré aux membres sortants du conseil consultatif : « Vous êtes invités à présenter une nouvelle demande. »
Avant d’être dissous, le CSRB enquêtait sur les attaques de Salt Typhoon. La question de savoir si le CSRB sera reconstitué reste une question ouverte, tout comme les projets de Trump concernant la CISA.
#Retards #dans #mise #jour #des #vulnérabilités #ciblées #par #Salt #Typhoon