Le FBI et la Cybersecurity and Infrastructure Security Agency (CISA) ont publié une nouvelle alerte conjointe détaillant l’activité de cybercriminels parrainés par l’État ; il s’agit de la seconde alerte de ce type ce mois-ci.
Satnam Narang, Principal Research engineer, chez Tenable fait l’analyse suivante :
« La première alerte a mis en garde contre des attaques ciblées utilisant la vulnérabilité CVE-2020-1472 [2], également connue sous le nom de « Zerologon », dans le cadre du chaînage de vulnérabilités avec plusieurs failles non corrigées.
Dans leur dernier avis de sécurité, le FBI et la CISA ont fourni un aperçu détaillé de la manière dont ces cybercriminels obtiennent un premier accès. L’alerte met en avant des tentatives de brute-force des pages de connexion et d’injection SQL sur les applications Web. Les attaquants recherchent des vulnérabilités dans les applications, telles que Citrix Application Delivery Controller (ADC), Citrix Gateway, les VPN SSL Fortinet, ainsi que les services Microsoft Exchange et Exim Mail Transfer Agent (MTA).
Bon nombre des vulnérabilités de ce dernier avis recoupe les précédentes alertes du gouvernement américain des derniers mois. En mai, la NSA a mis en évidence une activité parrainée par l’État tentant d’exploiter CVE-2019-10149, une vulnérabilité critique d’exécution de commandes à distance dans Exim. En septembre dernier, la CISA a également publié plusieurs alertes pour avertir de l’activité de criminels ciblant CVE-2019-19781, une vulnérabilité de type directory traversal dans les produits Citrix ADC et Citrix Gateway, CVE-2020-0688, une vulnérabilité liée à l’utilisation d’une clé statique dans Microsoft Exchange Server a également été signalée. Par ailleurs, dans leur premier avis, le FBI et la CISA ont également référencé CVE-2018-13379, une autre vulnérabilité critique de type directory traversal dans le VPN SSL FortiOS de Fortinet.
Les vulnérabilités non corrigées sont une aubaine, non seulement pour le cybercriminel lambda, mais aussi pour ceux parrainés par un État. Bien que beaucoup se focalisent sur la participation d’un État, le plus révélateur dans cet avis est la manière dont ces criminels procèdent. En effet, bien que les failles Zero Day restent un bien précieux, les attaquants n’ont plus besoin de dépenser d’argent pour les développer ou les acquérir. Aussi, tant qu’il y aura un nombre incalculable de systèmes en ligne non patchés, de preuves de concept (POC) facilement accessibles, ainsi que des exploits, les vulnérabilités bien connues continueront de faire les beaux jours des cybercriminels. »