Certains articles de veille peuvent faire l'objet de traduction automatique.
Lorsque WIRED a contacté Jamf pour un commentaire, le responsable de la sécurité informatique de la société, Aaron Kiemele, a souligné que l’étude de Black Hat n’indiquait aucune vulnérabilité de sécurité réelle dans son logiciel. Mais « l’infrastructure de gestion », a ajouté M. Kiemele dans une déclaration, est toujours « attrayante pour les attaquants ». Ainsi, chaque fois que vous utilisez un système pour gérer de nombreux appareils différents, en donnant un contrôle administratif, il devient impératif que ce système soit configuré et géré de manière sécurisée. » Il a invité les utilisateurs de Jamf à ce guide pour « durcir » les environnements Jamf. en modifiant la configuration et les paramètres.
Bien que les anciens chercheurs de F-Secure se soient concentrés sur Jamf, ce n’est pas le seul outil de gestion à distance à constituer une surface d’attaque potentielle pour les intrus, déclare Jake Williams, ancien pirate de la NSA et directeur technique de la société de sécurité BreachQuest. Outre Kaseya, des outils comme ManageEngine, inTune, NetSarang, DameWare, TeamViewer, GoToMyPC et d’autres présentent des cibles tout aussi juteuses. Ils sont omniprésents, ne sont généralement pas limités dans leurs privilèges sur un PC cible, sont souvent exemptés des scans antivirus et négligés par les administrateurs de sécurité, et sont capables d’installer des programmes sur un grand nombre de machines par conception. « Pourquoi sont-ils si faciles à exploiter ? demande Williams. « Vous obtenez l’accès à tout ce qu’ils gèrent. Vous êtes en mode « dieu ». »
Ces dernières années, Williams dit avoir constaté dans sa pratique de la sécurité que les pirates ont exploité « à plusieurs reprises » des outils de gestion à distance, notamment Kaseya, TeamViewer, GoToMyPC et DameWare dans des intrusions ciblées contre ses clients. Il précise que ce n’est pas parce que tous ces outils présentaient eux-mêmes des vulnérabilités piratables, mais parce que les pirates ont utilisé leurs fonctionnalités légitimes après avoir obtenu un certain accès au réseau de la victime.
En fait, les instances d’une exploitation à plus grande échelle de ces outils ont commencé plus tôt, en 2017, lorsqu’un groupe de hackers d’État chinois a mené une attaque de la chaîne d’approvisionnement en logiciels sur l’outil de gestion à distance NetSarang, en pénétrant la société coréenne à l’origine de ce logiciel pour y cacher leur propre code de porte dérobée. La campagne de piratage plus médiatisée de SolarWinds, dans laquelle des espions russes ont caché un code malveillant dans l’outil de surveillance informatique Orion pour pénétrer dans pas moins de neuf agences fédérales américaines, illustre d’une certaine manière la même menace. (Bien qu’Orion soit techniquement un outil de surveillance, et non un logiciel de gestion, il possède bon nombre des mêmes caractéristiques, notamment la possibilité d’exécuter des commandes sur les systèmes cibles). Dans une autre violation maladroite mais troublante, un pirate a utilisé l’outil d’accès et de gestion à distance TeamViewer pour accéder aux systèmes d’une petite station de traitement des eaux à Oldsmar, en Floride, et a tenté – sans succès – de déverser des quantités dangereuses de lessive dans l’approvisionnement en eau de la ville.
Cependant, aussi dangereux que soient les outils de gestion à distance, les abandonner n’est pas une option pour de nombreux administrateurs qui en dépendent pour superviser leurs réseaux. En fait, de nombreuses petites entreprises qui ne disposent pas d’équipes informatiques bien étoffées ont souvent besoin de ces outils pour garder le contrôle de tous leurs ordinateurs, sans bénéficier d’une surveillance plus manuelle. Malgré les techniques qu’ils présenteront à Black Hat, Roberts et Hall soutiennent que Jamf est toujours susceptible d’être un avantage net pour la sécurité dans la plupart des réseaux où il est utilisé, puisqu’il permet aux administrateurs de standardiser les logiciels et la configuration des systèmes et de les maintenir à jour. Ils espèrent plutôt pousser les vendeurs de technologies de sécurité, comme les systèmes de détection des points de terminaison, à surveiller le type d’exploitation de l’outil de gestion à distance dont ils font la démonstration.
Pour de nombreux types d’exploitation d’outils de gestion à distance, cependant, une telle détection automatisée n’est pas possible, déclare M. Williams de BreachQuest. Le comportement attendu des outils – atteindre de nombreux appareils sur le réseau, modifier les configurations, installer des programmes – est tout simplement trop difficile à distinguer d’une activité malveillante. M. Williams estime plutôt que les équipes de sécurité internes doivent apprendre à surveiller l’exploitation des outils et être prêtes à les fermer, comme beaucoup l’ont fait lorsque la nouvelle d’une vulnérabilité dans Kaseya a commencé à se répandre la semaine dernière. Mais il admet que c’est une solution difficile, étant donné que les utilisateurs d’outils de gestion à distance n’ont souvent pas les moyens d’avoir ces équipes internes. « À part être sur place, prêt à réagir, pour limiter le rayon d’explosion, je ne pense pas qu’il y ait beaucoup de bons conseils », dit Williams. « C’est un scénario assez sombre ».
Mais les administrateurs réseau feraient bien, au moins, de commencer par comprendre à quel point leurs outils de gestion à distance peuvent être puissants entre de mauvaises mains – un fait que ceux qui en abusent semblent maintenant mieux connaître que jamais.
Poster un commentaire