Connect with us

TV

CISA avertit que des pirates informatiques ont exploité des agences fédérales via Pulse Connect Secure VPN Vulnerabilities

Published

on

CISA avertit que des pirates informatiques ont exploité des agences fédérales via Pulse Connect Secure VPN Vulnerabilities

Des pirates informatiques ont violé plusieurs agences fédérales américaines, des entités d’infrastructure critique et des entités privées après avoir exploité les vulnérabilités VPN de Pulse Connect Secure (PCS), a averti la Cybersecurity and Infrastructure Security Agency (CISA).

Depuis le 31 mars 2021, CISA a aidé plusieurs entités dont les appareils Pulse Connect Secure vulnérables ont été exploités par des pirates, a révélé l’alerte AA-21-110A de CISA.

Les attaquants ont exploité les vulnérabilités de Pulse Connect Secure VPN pour collecter des mots de passe Active Directory, installer des web shells et contourner l’authentification multifacteur.

CISA avait précédemment émis des avis de sécurité SA44101 et SA44601 concernant d’autres vulnérabilités de Pulse Connect Secure VPN CVE-2019-11510 et CVE-2020-8260 exploitées par les attaquants.

Les acteurs de la menace ont exploité plusieurs vulnérabilités de Pulse Connect Secure VPN pour gagner en persistance

Les acteurs de la menace ont exploité plusieurs vulnérabilités de Pulse Connect Secure VPN pour gagner en persistance

L’acteur de la menace a exploité plusieurs vulnérabilités VPN, notamment CVE-2019-11510, CVE-2020-8260, CVE-2020-8243 et CVE-2021-22893. L’attaquant a exploité les vulnérabilités VPN pour contourner l’authentification à un et plusieurs facteurs et installer des web shells pour l’administration à distance afin de maintenir la persistance.

Ils ont exploité la vulnérabilité Pulse Connect Secure CVE-2021-22893 comme vecteur d’attaque initial pour compromettre les réseaux des victimes. La vulnérabilité zero-day est une faille d’exécution de code à distance (RCE) avec un score CVSS de 10,0. Les attaquants peuvent exploiter la vulnérabilité VPN sans intervention de l’utilisateur.

Le correctif pour CVE-2021-22893 ne serait disponible que début mai, mais Ivanti a publié diverses atténuations sous forme de fichiers de configuration XML.

Les organisations utilisant des produits vulnérables doivent exécuter Pulse Secure Connect Integrity Tool toutes les 24 heures pour déterminer si elles ont été compromises.

Les agences fédérales parmi les victimes violées par les vulnérabilités du VPN Pulse Connect Secure

Les agences fédérales parmi les victimes violées par les vulnérabilités du VPN Pulse Connect Secure

CISA a émis une alerte de sécurité AA21-110A reconnaissant le compromis des agences fédérales, des agences d’infrastructure critique et des organisations privées.

A lire aussi   Les pires animateurs de la télé selon les chroniqueurs

«La Cybersecurity and Infrastructure Security Agency (CISA) est consciente des compromis affectant les agences gouvernementales américaines, les entités d’infrastructure critique et d’autres organisations du secteur privé par un ou plusieurs acteurs de la cybersécurité à partir de juin 2020 ou plus tôt liés aux vulnérabilités de certains Ivanti Pulse Connect Secure des produits.”

CISA a averti que les vulnérabilités VPN posaient un «risque inacceptable pour les agences de la branche exécutive civile fédérale» nécessitant ainsi une correction immédiate. L’agence a ordonné à d’autres agences fédérales d’appliquer immédiatement les mesures d’atténuation pour éviter d’autres compromis.

Les organisations doivent réinitialiser tous les mots de passe de tous les comptes dont les informations d’identification ont été transmises via l’environnement Pulse Secure. CISA leur a également conseillé de considérer ces comptes déjà compromis.

FireEye attribue l’activité de piratage aux acteurs chinois de la menace

Mandiant Solutions de FireEye a déclaré avoir identifié 12 variantes de logiciels malveillants liées aux vulnérabilités du VPN Pulse Connect Secure.

La société de technologie basée à Milpitas, en Californie, a déclaré que deux acteurs chinois de la menace, UNC2630, un acteur parrainé par l’État, et UNC2717, un acteur avancé de la menace persistante, étaient responsables de violations liées au PCS, bien que l’attribution complète était en cours.

L’UNC2630 ciblait principalement les agences fédérales américaines et les bases industrielles de défense (DIB), tandis que l’UNC2717 ciblait les gouvernements du monde entier. UNC2630 était également étroitement lié à l’acteur de menace chinois suivi sous le nom d’APT5 depuis 2014.

Les groupes de piratage ont utilisé des web shells SLOWPULSE, RADIALPULSE, THINBLOOD, ATRIUM, PACEMAKER, SLIGHTPULSE et PULSECHECK sur les agences fédérales.

Il a récolté des informations de connexion lui permettant d’exploiter des comptes légitimes pour se déplacer latéralement sur les réseaux compromis. L’APT a exploité des binaires et des scripts Pulse Secure modifiés pour maintenir la persistance sur l’appliance VPN, selon FireEye.

A lire aussi   Le Petit Sujet - Milan sur le banc des accusés (Footissime)

Les attaquants n’ont pas introduit de portes dérobées ni exécuté d’attaques de la chaîne d’approvisionnement. FireEye a expliqué que les exploits n’étaient pas exclusifs aux deux groupes de piratage chinois et pourraient être associés à des «acteurs APT faiblement connectés».

Le porte-parole d’Ivanti a déclaré à la Colline que seul un «nombre limité» de clients avait été violé. Le représentant a ajouté que son entreprise avait notifié les entités compromises directement par courrier électronique.

Bien que la CISA n’ait pas identifié les agences fédérales qui ont été violées, les victimes potentielles comprennent la Garde côtière, le Pentagone et le Bureau of the Fiscal Service.

FireEye a également déclaré avoir détecté une activité malveillante contre les réseaux DIB américains et les organisations européennes.

Commentant l’alerte CISA, Heather Paunet, Senior Vice President chez Untangle, a déclaré que les organisations devraient appliquer le cryptage des données.

«Les incidents de sécurité, tels que l’attaque des appliances VPN Pulse Secure, soulignent la nécessité de vous assurer que vous utilisez les dernières technologies avec une cryptographie de pointe, telle que Wireguard.»

Elle a noté que la préservation de la sécurité et de la sûreté en ligne des utilisateurs était importante à l’ère du travail à distance.

«Pourtant, de nombreuses entreprises continuent d’utiliser des technologies plus anciennes, malgré l’augmentation non seulement du nombre de menaces, mais aussi de la sophistication des menaces», a ajouté Paunet. «D’autres considérations concernant l’utilisation du VPN incluent la mise à jour des correctifs et de la dernière configuration et la garantie que les employés utilisent le VPN conformément au protocole.»

Dirk Schrader, vice-président mondial de la recherche sur la sécurité chez New Net Technologies (NNT), a déclaré que les tentatives d’atténuation doivent prendre en compte d’autres vulnérabilités en dehors des plus graves.

A lire aussi   Plus belle la vie : Céline a des problèmes avec la justice ! Lucie Boher MALTRAITÉE !

«Toute approche qui considère« le correctif uniquement le plus sévère »manquera le fait qu’une attaque se succède. C’est comme un pionnier à travers le paysage de vulnérabilité dans une infrastructure tel que vu pendant la phase de reconnaissance de l’attaquant (ou supposé comme «juste là»). Dans l’ensemble, le rapport FireEye et l’avis soulignent la nécessité d’une défense en couches, qui englobe la prévention (comme la vulnérabilité et la gestion des correctifs) ainsi que la détection (comme le contrôle des changements) pour atteindre la cyber-résilience. »

Paul Martini, PDG d’iboss, affirme que les VPN sont obsolètes dans le paysage technologique moderne.

«Les organisations qui déploient des appliances de sécurité réseau héritées pour protéger la connectivité cloud et l’accès Internet sont aujourd’hui confrontées à ces problèmes. On dit souvent que les jours de VPN sont limités en partie parce qu’ils ne sont pas évolutifs, ce qui les rend incapables de traiter des quantités massives de trafic Internet généré par des travailleurs distants.

Il note que l’ancienne technologie VPN pourrait être en proie à des vulnérabilités de sécurité non corrigées, ouvrant ainsi les organisations à des risques inutiles.

«Les organisations doivent renforcer leurs postures de sécurité en utilisant des solutions de cybersécurité modernes, telles que les plates-formes SASE, qui permettent aux utilisateurs de se connecter directement à n’importe quelle application cloud rapidement et en toute sécurité, éliminant ainsi le besoin d’un VPN.»

& # xD;

CISA a averti que les #hackers exploitaient les agences fédérales, les agences d’infrastructure critique et les organisations privées via les vulnérabilités Pulse Connect Secure #VPN. #cybersecurity # respectdata & # xD;

& # xD;

Cliquez pour Tweet & # xD;

Continue Reading
Click to comment

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *