2023 : Analyse approfondie de trois attaques
qui ont ébranlé les fondations des réseaux informatiques…
3CX: Chaîne d’approvisionnement compromise
L’attaque contre l’entreprise 3CX a mis en lumière la vulnérabilité de la chaîne d’approvisionnement. Ces attaques (T1195) sont devenues un sujet préoccupant et figurent parmi les risques les plus probables pour 2024. Le principe est simple : les cybercriminels exploitent les vulnérabilités dans la chaîne d’approvisionnement logicielle des organisations pour compromettre leurs systèmes et accéder à des données sensibles. Selon les estimations de Gartner, pas moins de 45 % des organisations seront victimes d’une attaque sur leur chaîne d’approvisionnement logicielle d’ici 2025. Rentable : une seule compromission peut entraîner des centaines, voire des milliers de victimes. #effetbouledeNeige !
- Cible : Dans notre exemple, l’attaque contre 3CX visait le serveur VoIP 3CX, une solution logicielle populaire utilisée pour la communication commerciale. Les pirates ont infiltré la chaîne d’approvisionnement de 3CX en injectant un code malveillant dans l’application X_Trader, publiée par Trading Technologies.
- Méthode : Les attaquants ont utilisé des identifiants pour pousser des mises à jour malveillantes vers les serveurs 3CX. Téléchargées par un employé de 3CX, cette attaque en cascade a permis aux attaquants d’accéder au réseau de l’entreprise et d’exécuter du code non autorisé sur le serveur, compromettant une partie importante de sa clientèle. Les mises à jour malveillantes contenaient des charges utiles conçues pour établir des portes dérobées, permettant aux attaquants un accès persistant aux systèmes compromis. Cet accès pourrait être utilisé pour l’exfiltration de données, l’écoute des communications ou d’autres activités malveillantes ultérieures dans le réseau.
- Impact et implications : Les entreprises utilisant le système 3CX pour la communication ont découvert que leurs systèmes étaient compromis, entraînant des violations potentielles de données et un accès non autorisé aux communications sensibles. La nature furtive de l’attaque, déguisée en mise à jour légitime, a posé d’importants défis de détection. Un éventail d’entreprises utilisant le serveur VoIP 3CX a été touché. Cela inclut les petites et moyennes entreprises ainsi que les grandes entreprises de divers secteurs, en particulier ceux fortement dépendants des communications VoIP. Les noms d’entreprises spécifiques ne peuvent pas être divulgués publiquement pour des raisons de confidentialité et de sécurité. Les pertes financières estimées incluent probablement les coûts associés à la réponse aux incidents, à la restauration des systèmes, aux éventuels paiements de rançon et aux pertes indirectes telles que les temps d’arrêt et les dommages à la réputation.
L’incident met en évidence la nécessité d’une vigilance accrue à tous les niveaux de la chaîne d’approvisionnement pour prévenir les réactions en chaîne dommageables. C’est au cœur de nombreuses réglementations à venir, principalement la tristement célèbre NIS 2.
MoveIT : Vulnérabilité Zero-Day et exploitation persistante
Cette vulnérabilité, initialement révélée le 31 mai, a été évaluée avec un score CVSS de 9.8, indiquant une gravité extrême. Des gemmes spéciales et précieuses, un véritable cauchemar pour les éditeurs, les utilisateurs et les développeurs. Une faille Zero-Day est une vulnérabilité inconnue de l’éditeur de logiciel, donc il n’y a pas de mise à jour pour corriger le problème.
- Cible : Ici, le logiciel de transfert sécurisé MOVEit, conçu par Progress Software, a été la cible d’une série d’attaques à grande échelle, mettant en lumière une inquiétante vulnérabilité zero-day.
- Méthode : CVE-2023-34362, une faille d’injection SQL dans l’application web MOVEit Transfer, a été activement exploitée par des acteurs malveillants, faisant de cette attaque l’une des plus critiques de l’année. Les attaquants ont exploité cette faille pour extraire des informations sensibles des bases de données des victimes. En plus de la récupération des données, ils avaient la capacité d’exécuter des requêtes SQL malveillantes, ouvrant la porte à la manipulation ou même à la suppression de données cruciales. Les vulnérabilités du logiciel Move-It exploitées étaient principalement liées à une validation insuffisante des entrées, permettant aux attaquants d’exécuter du code à distance. Cette faille permettait un accès non autorisé aux fichiers et aux données en transit.
- Impact et implications : Le nom le plus connu sur la liste des victimes est le groupe pétrolier britannique Shell. Plusieurs banques américaines, compagnies d’assurance et universités ont également été affectées. D’autres indirectement touchés, comme mis en évidence dans notre Rapport Semestriel : Zellis, un fournisseur de services de paie pour des entités renommées telles que British Airways, BBC, Boots et DHL, a été particulièrement impacté.
« MOVEit aide les équipes informatiques de presque toutes les agences civiles fédérales et les branches militaires à transférer de manière sécurisée des informations essentielles à leur mission et à garantir la performance de leur infrastructure et de leurs applications en réseau ». Chaque branche militaire et civile utilise le logiciel. Cette attaque est d’autant plus préoccupante que le groupe Cl0p affirme avoir exploité la vulnérabilité depuis 2021, ce qui indique une connaissance avancée. Cela souligne l’urgence de détecter et de résoudre rapidement de telles vulnérabilités pour prévenir des attaques prolongées. Affectant plus de 500 organisations, y compris des géants, ces attaques mettent en évidence les défis cruciaux de la protection contre les menaces sophistiquées.
ESXi : ou l’exploitation par ransomware d’une vulnérabilité de 2021
Le 3 février 2023, des attaques ciblées ont réactivé une vulnérabilité remontant à 2021 (CVE-2021-21974) contre les hyperviseurs VMware ESXi, orchestrant le déploiement de rançongiciels.
- Cible : L’attaque ESXi était une attaque par rançongiciel visant les hyperviseurs VMware ESXi, utilisés pour virtualiser et gérer plusieurs machines virtuelles (VM) dans les environnements d’entreprise.
- Méthode : L’attaque a été menée en exploitant une vulnérabilité de débordement de tas dans le composant OpenSLP des hyperviseurs. Le protocole de localisation de service (SLP) était utilisé pour transmettre des informations sur les services et leurs emplacements. Une fois exploitée, le rançongiciel a chiffré les VM, les rendant inaccessibles aux utilisateurs. L’attaque se produit lors de la réception d’annonces d’agents de répertoire, où une défaillance dans la détection de caractère nul permet la déviation du flux d’exécution du programme, autorisant ainsi l’exécution de code arbitraire. Cette vulnérabilité a été exploitée pour déployer le rançongiciel EsxiArgs, caractérisé par l’extension .args des fichiers chiffrés et spécifiquement conçu pour cibler les serveurs ESXi, en utilisant des algorithmes de chiffrement qui verrouillaient les disques durs virtuels. Le rançongiciel ciblait spécifiquement la couche hyperviseur, qui est un composant critique dans les environnements virtualisés. En chiffrant les VM, les attaquants pouvaient exiger une rançon pour les clés de déchiffrement.
- Détection : La détection a été rendue possible par la règle Sigflow (sid 2044114) depuis le 3 février. Des procédures de récupération de fichiers chiffrés ont été fournies par CERT FR, mais l’attaque a évolué avec l’apparition d’une nouvelle souche de rançongiciel, EsxiArgs, rendant les fichiers chiffrés irrécupérables. Le 10 février, une modification de la méthode de chiffrement a été observée, compliquant encore la restauration des données. Ces évolutions soulignent l’importance de mettre à jour rapidement les correctifs de sécurité, de détecter de manière proactive les vulnérabilités et de comprendre en profondeur les procédures nécessaires pour contrer ces attaques sophistiquées.
- Impact et implications : L’attaque a eu un impact mondial, affectant un large éventail d’organisations dans divers secteurs (technologie, santé, finance, éducation et gouvernement) qui dépendaient du logiciel de transfert de fichiers compromis. Le potentiel de mouvement latéral au sein des réseaux affectés suscitait de sérieuses inquiétudes quant à la profondeur et à l’étendue de la violation de sécurité. La reconnaissance de VMware selon laquelle les attaquants exploitent probablement toutes les vulnérabilités disponibles souligne l’urgence de renforcer la sécurité de l’hyperviseur contre les menaces persistantes et évolutives. Un réseau hospitalier européen a été fortement impacté par l’attaque ESXi, entraînant le chiffrement des dossiers des patients et des systèmes opérationnels critiques. L’hôpital a dû revenir à des systèmes manuels, provoquant des retards dans les soins aux patients et autres services.
Les solutions NDR, pierre angulaire de votre stratégie de cybersécurité
Ces attaques soulignent l’importance critique de la cybersécurité dans un paysage numérique en constante évolution, faisant écho aux prédictions faites pour 2024. Elles révèlent des schémas similaires qui mettent en évidence des leçons capitales dans les pratiques de cybersécurité et les réponses stratégiques. Les domaines clés à surveiller comprennent l’exploitation des vulnérabilités, l’efficacité de l’ingénierie sociale, le besoin critique d’une surveillance avancée des réseaux et l’impératif d’une stratégie robuste de réponse aux incidents. Il est crucial de reconnaître que la cybersécurité n’est pas simplement un défi technologique mais une responsabilité organisationnelle globale.
En réfléchissant aux stratégies de NDR pour les attaques 3CX, Move-It et ESXi, un thème commun émerge : les capacités de détection avancées. Les systèmes NDR utilisent la détection d’anomalies, analysant les écarts par rapport aux baselines de réseau établies. L’analyse des motifs de trafic identifie les activités inhabituelles, et l’intelligence artificielle et l’apprentissage automatique permettent aux systèmes NDR de s’adapter aux nouvelles menaces. L’essence d’une NDR efficace réside dans sa capacité à effectuer une analyse en temps réel et une surveillance continue. Les entreprises doivent affronter des défis tels que la protection contre les attaques de la chaîne d’approvisionnement, les vulnérabilités zero-day et l’exploitation persistante de failles connues avec détermination. La collaboration entre les experts en cybersécurité, les fournisseurs de logiciels et les utilisateurs finaux reste cruciale pour renforcer la résilience du réseau et garantir un avenir numérique plus sûr.