• Votre panier est vide.

  • LOGIN

La NSA prévient que la Russie attaque les plates-formes de travail à distance


Certains articles de veille peuvent faire l'objet de traduction automatique.


Tout au long de 2020, un Une partie sans précédent des employés de bureau dans le monde a été forcée de travailler à domicile en raison de la pandémie de Covid-19. Cette dispersion a créé d’innombrables opportunités pour les pirates, qui en profitent pleinement. Dans un avis publié aujourd’hui, l’Agence de sécurité nationale a déclaré que des groupes parrainés par l’État russe s’attaquaient activement à une vulnérabilité dans plusieurs plates-formes de travail à distance d’entreprise développées par VMware. La société a émis un bulletin de sécurité jeudi, qui détaille les correctifs et les solutions de contournement pour atténuer la faille, que les acteurs du gouvernement russe ont utilisé pour obtenir un accès privilégié aux données cibles.

Les institutions se sont efforcées de s’adapter au travail à distance, offrant aux employés un accès à distance sécurisé aux systèmes de l’entreprise. Mais le changement s’accompagne de risques différents et a créé de nouvelles expositions par rapport aux réseaux de bureaux traditionnels. Les failles des outils tels que les VPN sont des cibles particulièrement populaires, car ils peuvent donner aux attaquants l’accès aux réseaux internes de l’entreprise. Un groupe de vulnérabilités affectant le VPN Pulse Secure, par exemple, a été corrigé en avril 2019, mais les agences de renseignement et de défense des États-Unis telles que la Cybersecurity and Infrastructure Security Agency ont émis des avertissements dans Octobre 2019, et encore dans janvier, et avril, que les hackers attaquaient encore les organisations – y compris les agences gouvernementales – qui n’avaient pas appliqué le patch.

Jeudi, CISA a publié un bref avis encourager les administrateurs à corriger la vulnérabilité VMware. « Un attaquant pourrait exploiter cette vulnérabilité pour prendre le contrôle d’un système affecté », a déclaré l’agence.

En plus d’avertir le grand public du bogue VMware, la NSA a souligné à plusieurs reprises qu’elle «encourage les administrateurs réseau du système de sécurité nationale (NSS), du ministère de la Défense (DOD) et de la base industrielle de défense (DIB) à donner la priorité à l’atténuation de la vulnérabilité sur serveurs concernés. « 

«C’est l’une de ces choses où le messager est remarquable ainsi que le message», déclare Ben Read, directeur principal de l’analyse du cyberespionnage au sein de la société de renseignement sur les menaces FireEye. «C’est une vulnérabilité d’exécution de code à distance, c’est quelque chose que les gens veulent vraiment corriger, mais ces choses arrivent. Donc, le fait que la NSA ait voulu en faire un gros problème est probablement basé sur le fait qu’il était utilisé par les Russes à l’état sauvage et vraisemblablement contre une cible qui inquiète la NSA. « 

Les produits VMware concernés concernent tous l’infrastructure cloud et la gestion des identités, y compris VMware Workspace One Access, son prédécesseur VMware Identity Manager et VMware Cloud Foundation. VMware a déclaré dans un communiqué que « dès la notification du problème, VMware a travaillé pour évaluer ce problème et a fourni les mises à jour et les correctifs appropriés pour atténuer ce problème ».

La société a noté dans son avis qu’elle attribue la gravité de la faille à « Important », une étape inférieure à « Critique », car les attaquants doivent avoir accès à une interface de gestion Web protégée par mot de passe avant de pouvoir exploiter la vulnérabilité. La NSA souligne que sécuriser cette interface avec un mot de passe fort et unique, ou la configurer de manière à ce qu’elle ne soit pas accessible à partir de l’Internet public, sont les deux étapes qui peuvent réduire le risque d’attaque. Heureusement, VMware n’a pas conçu les systèmes affectés avec l’option d’utiliser des mots de passe par défaut qui seraient très faciles à deviner pour les attaquants.

Une fois qu’un pirate a accès, il peut exploiter la vulnérabilité pour manipuler les demandes d’authentification appelées «assertions SAML» (de Security Assertion Markup Language, un standard ouvert) afin de s’enfouir plus profondément dans le réseau d’une organisation. Et ils peuvent utiliser cette position pour accéder à d’autres serveurs contenant des informations potentiellement sensibles.

FireEye’s Read note que si le bogue nécessite d’abord un mot de passe légitime pour être exploité, ce n’est pas un obstacle insurmontable, en particulier les pirates informatiques russes qui ont une installation connue avec des techniques de vol d’informations d’identification comme la pulvérisation de mots de passe. «Je suppose que la NSA est en train d’écrire quelque chose parce qu’elle l’a vu fonctionner même si ce n’est en théorie pas la pire vulnérabilité qui soit», dit-il.

Lorsque tant d’employés travaillent à distance, il peut être difficile d’utiliser les outils de surveillance réseau traditionnels pour signaler les comportements potentiellement suspects. Mais la NSA souligne également que les vulnérabilités telles que le bogue VMware présentent un défi unique, car l’activité malveillante se produirait toutes dans des connexions cryptées à l’interface Web qui ne se distinguent pas des connexions légitimes. La NSA recommande à la place que les organisations passent au peigne fin les journaux de leurs serveurs pour ce que l’on appelle les instructions «exit» qui peuvent indiquer une activité suspecte.

Voir aussi :

décembre 7, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)