Des failles VPN non corrigées peuvent aider les pirates informatiques à attaquer les entreprises, à avertir la NSA et le NCSC

Les enquêtes de la NSA (National Security Agency) et du NCSC (National Cyber Security Center) ont révélé que des services VPN (Virtual Private Network) particuliers pouvaient être attaqués par des groupes cybercriminels connus sous le nom d' APT ( Advanced Persistent Threat ). Cependant, il est possible que différentes équipes de pirates informatiques soient également intéressées à attaquer des VPN vulnérables. En conséquence, de nombreuses entreprises internationales qui utilisent de tels services pourraient être en danger, c'est pourquoi les spécialistes de la cybersécurité recommandent de prendre des mesures immédiates. Dans cet article de blog, nous discutons quelles applications sont ciblées et ce qui rend le VPN vulnérable. De plus, si vous continuez à lire, vous pouvez savoir ce que vous devez faire si votre entreprise utilise l'un des services VPN vulnérables. Si vous avez des questions sur les failles VPN discutées, nous pouvons vous proposer notre section de commentaires qui se trouve à la fin de cette page.

Qu'est-ce qui rend le VPN vulnérable et quels services pourraient être attaqués?

Pulse Secure , Fortinet et Palo Alto sont les sociétés qui fournissent des services VPN, qui sont ciblés par les pirates APT. En outre, il a été remarqué que les cybercriminels recherchent des entreprises travaillant dans les secteurs suivants: gouvernement, armée, éducation, affaires et soins de santé. Il est probable que leur objectif est d'accéder aux systèmes des organisations, par exemple, pour obtenir des informations sensibles ou supprimer des logiciels malveillants.

Selon NCSC , les pirates informatiques sont conscients des failles VPN particulières des outils répertoriés. L'outil VPN fourni par Pulse Secure présente deux faiblesses appelées CVE02019-11510 et CVE-2019-11539 , qui peuvent permettre à des attaquants distants de lire des fichiers arbitraires ou d'exécuter des commandes via l'interface d'administration. Le produit VPN de Fortinet présente trois défauts appelés CVE-2018-13379 , CVE-2018-13382 et CVE-2018-13383 . Comme vous pouvez le voir, les défauts répertoriés ne sont pas nouveaux car ils ont été découverts en 2018. Pourtant, il pourrait y avoir des utilisateurs qui ne les ont peut-être pas encore corrigés.

Une autre chose que vous devez savoir sur les failles VPN de Fortinet est qu'elles peuvent permettre aux attaquants de lire des fichiers arbitraires, de changer les mots de passe des utilisateurs du portail Web VPN SSL et de faire fonctionner le shell sur un routeur. Quant à ceux qui utilisent les services de Palo Alto, ils pourraient être ravis d'apprendre que ce VPN n'a qu'un seul défaut que les pirates ATP pourraient exploiter. Il s'appelle CVE-2019-1579 , et il peut permettre à des attaquants d'exécuter du code arbitraire. L'exploitation de l'exécution de code arbitraire pourrait permettre aux attaquants d'obtenir les mêmes privilèges qu'un utilisateur d'une application ciblée ou d'un système pourrait avoir. Par exemple, si les pirates exploitent une telle faille dans le logiciel VPN, ils pourraient être en mesure de modifier ses paramètres, d'afficher les journaux ou de faire tout ce qu'un utilisateur pourrait faire.

Comment se débarrasser des failles VPN?

Les failles VPN peuvent être résolues de la même manière que toutes les autres faiblesses logicielles. Habituellement, une fois qu'une vulnérabilité est connue d'une entreprise qui en est responsable, une organisation recherche un moyen de la corriger. Une fois la solution trouvée, un correctif ou une mise à jour apparaît que les utilisateurs d'un produit peuvent télécharger. Alors que certains outils informent les utilisateurs sur les faiblesses et les correctifs qui peuvent être appliqués, les utilisateurs doivent parfois les découvrir par eux-mêmes, par exemple, lorsqu'ils visitent le site Web d'une entreprise.

Les six failles VPN trouvées dans les produits Pulse Secure, Fortinet et Palo Alto ont été corrigées il y a quelque temps. Que vous ayez été informé des correctifs nécessaires, mais que vous ayez choisi de ne pas les installer, ou que vous n'ayez pas encore entendu parler de ces correctifs, nous vous recommandons vivement de les appliquer dès que possible. Bien sûr, à l'avenir, vous devriez toujours installer les mises à jour immédiatement si vous voulez que vos appareils et systèmes soient en sécurité.

Comment déterminer si vos failles VPN ont pu être exploitées?

Si votre application VPN n'a pas été corrigée depuis un certain temps, les spécialistes de la cybersécurité recommandent de prendre des précautions supplémentaires. Cela signifie que vous devez non seulement appliquer des correctifs qui corrigeraient vos failles VPN, mais également enquêter sur les activités liées à votre VPN pour rechercher la preuve d'une violation. Ci-dessous, vous pouvez voir des conseils NCSC sur la façon de trouver des preuves de VPN compromis.

Pulse Connect

Il est conseillé aux organisations qui utilisent les services VPN de cette entreprise de rechercher des connexions à des URL suspectes. Pour ce faire, les spécialistes recommandent de faire une demande HTTPS directement à l'interface Web et non via le VPN. Si de telles activités apparaissent dans les journaux d'événements, il est conseillé de vérifier dans les journaux de recherche les adresses URL contenant des points d'interrogation et se terminant par / dana / html5acc / guacamole . De plus, les spécialistes recommandent de rechercher des demandes à /dana-admin/diag/diag.cgi . Si de telles données sont trouvées et qu'elles datent avant l'installation des correctifs des faiblesses CVE02019-11510 et CVE-2019-11539, il est possible qu'un système soit compromis.

Fortifier

Il semble que les pirates qui pourraient exploiter la faiblesse CVE-2018-13379 pourraient télécharger un fichier appelé sslvpn_websession . Les experts en cybersécurité disent qu'il devrait contenir les mots de passe et les noms d'utilisateur de tous les utilisateurs actifs, et que la taille du fichier devrait être d'environ 200 Ko. Une autre façon de vérifier si des pirates ont pu exploiter les failles VPN d'une entreprise consiste à enquêter sur les journaux de pare-feu ou les journaux Netflow si un programme a été configuré pour les enregistrer. Pour être plus précis, les spécialistes conseillent de rechercher des sessions TCP de 200,00 à 250 000 octets du port d'interface Web SSL VPN vers le client, ce qui pourrait fournir des preuves d'exploitation.

Palo Alto

Il est conseillé aux organisations qui pourraient avoir utilisé des outils VPN non corrigés de cette société de rechercher les plantages dans les journaux du logiciel. Apparemment, les tentatives infructueuses d'exploiter ce VPN pourraient être visibles dans ses journaux, et c'est la seule chose qui pourrait aider à déterminer si un système pourrait être compromis.

Que faire si vous découvrez que vos failles VPN ont été exploitées?

Les spécialistes de la cybersécurité conseillent de révoquer les informations d'identification de connexion à risque et de réinitialiser les informations d'authentification. Ensuite, il est conseillé aux victimes de vérifier les options de configuration de l'application violée et de rechercher les modifications non autorisées qui, si elles sont trouvées, doivent être restaurées. Par mesure de précaution supplémentaire, les entreprises peuvent activer l'authentification à deux facteurs et désactiver tous les ports ou fonctions de leurs VPN qu'elles n'utilisent pas ou dont elles n'ont pas besoin. Bien sûr, il serait également judicieux de continuer à surveiller le trafic réseau et les journaux VNP pour les activités suspectes afin de prévenir de nouvelles attaques. En dernier recours, les experts en cybersécurité suggèrent d'effacer les appareils compromis si une entreprise soupçonne une violation, mais ne peut pas trouver de preuve de piratage et ne veut prendre aucune chance.

Dans l'ensemble, l'utilisation d'un VPN peut encore aider les entreprises à protéger leurs systèmes contre les cybercriminels. Cependant, il est essentiel de s'assurer qu'il n'y a pas de défauts VPN, car c'est ce qui rend le VPN vulnérable. Par conséquent, les experts en cybersécurité recommandent de vérifier régulièrement les nouveaux correctifs et mises à jour. Plus ils sont installés tôt, moins il y a de chances que les pirates puissent exploiter des faiblesses non corrigées. La façon la plus simple de vous assurer que les services VPN que votre entreprise utilise sont toujours à jour est probablement d'employer une équipe informatique qui garantirait que votre VPN, ainsi que d'autres logiciels, soient corrigés et mis à jour à temps. Pour en savoir plus sur les failles des VPN d'entreprise, nous vous recommandons de lire ici .

Par Foley
December 11, 2019
News
Français
December 11, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.