Le changement de mot de passe d’administration après l’installation du correctif 2024 est vital, préviennent les experts.
Les pare-feu vulnérables Sonicwall qui auraient dû être corrigés il y a un an pour une vulnérabilité de contrôle d’accès sont piratés par un gang de ransomware, ont averti les autorités de cybersécurité en Australie cette semaine.
L’Australian Cyber Security Center constate une augmentation de l’exploitation active dans ce pays d’une vulnérabilité critique en 2024 dans les pare-feu de Sonicwall avec SSL VPN activé. « Nous sommes conscients du ransomware Akira ciblant les organisations australiennes vulnérables par le biais de VPN SSL Sonicwall », a indiqué l’avertissement.
Le CVE-2024-40766, corrigé il y a un peu plus d’un an, est une vulnérabilité de contrôle d’accès inapproprié dans l’accès au système de gestion de Sonicwall Sonicos. Il peut entraîner un accès aux ressources non autorisé et, dans des conditions spécifiques, une écrasement du pare-feu. Ce problème affecte les appareils Gen 5 et Gen 6 du pare-feu Sonic
«Les organisations restent vulnérables si elles n’ont pas pleinement implémentée les conseils d’atténuation en mettant à jour les informations d’identification après la mise à jour du firmware», a souligné l’alerte australienne.
Des chercheurs de Rapid7 ont également publié un rapport cette semaine disant que son équipe de réponse aux incidents «a observé une augmentation des intrusions impliquant des appareils de Sonicwall».
« Nous avons maintenant une grande confiance que la récente activité SSLVPN n’est pas connectée à une vulnérabilité à jour zéro », a-t-il ajouté. «Au lieu de cela, il existe une corrélation significative avec l’activité de menace liée au CVE-2024-40766.»
Ces alertes suivent un avis d’août de Sonicwall qu’il enquêtait sur «moins de 40 incidents liés à la génération 7 et aux nouveaux pare-feu avec SSLVPN activés».
« De nombreux incidents se rapportent aux migrations de la génération 6 vers les pare-feu GEN 7, où les mots de passe des utilisateurs locaux ont été reportés pendant la migration et non réinitialisés », a déclaré Sonicwall. «La réinitialisation des mots de passe était un pas critique décrit dans le conseil d’origine.»
Ce n’est pas seulement une attaque contre l’Australie, a déclaré Alan Liska, un membre de l’équipe d’intervention de sécurité sur le terrain chez le fournisseur de cybersécurité, a déclaré l’avenir, dans une interview.
« Le premier reportage que nous avons vu d’Akira exploitant ce VPN SSL remonte au moins en janvier et peut-être un peu plus tôt » aux États-Unis et au Royaume-Uni, a-t-il déclaré.
Un affilié du gang Akira Ransomware-as-a-Service est derrière, a-t-il ajouté.
Malheureusement, a déclaré Liska, les appareils Sonicwall ont tendance à être hébergés par de petites organisations où il peut n’y avoir pas une équipe informatique ou de sécurité dédiée supervisant les correctifs. « L’une des raisons pour lesquelles les acteurs de ransomwares ont eu tellement de succès contre les VPN est qu’ils ont tendance à être non corrigés beaucoup plus longtemps que les autres systèmes. »
Dans ce cas, non seulement le patch a dû être installé, mais le mot de passe de l’utilisateur de l’administrateur doit être modifié immédiatement, a-t-il déclaré.
Selon des chercheurs de Veeam, «(Akira Ransomware) a consacré sa réputation en tant que l’une des cyber-menaces les plus implacables et les plus perturbatrices affectant les organisations aujourd’hui. Akira a tenu la première place pendant six trimestres consécutifs dans les données de cas de Veeam. En règle générale, a ajouté le rapport, les membres de gangs accédez à un réseau informatique, en utilisant des informations d’identification volées, via des services d’accès à distance exposés comme les VPN et Windows RDP. Après cela, ils copient des données pour une utilisation dans l’extorsion, puis parcourent les serveurs VMware ESXi pour chiffrer les données.
Robert Beggs, qui dirige la société canadienne de réponse aux incidents, Digital Defence, estime que le gang Akira Ransomware a développé un système automatisé pour détecter et exploiter les pare-feu Sonicwall non corrigés.
« Il n’est pas rare qu’un attaquant attende que la poussière se déposent avant de cibler une vulnérabilité signalée », a-t-il ajouté. « Les entreprises qui ne parviennent pas à corriger une vulnérabilité connue dans un produit de sécurité de bord tel que le VPN Sonicwall ont généralement une mauvaise cybersécurité dans son ensemble et fera une bonne cible. »
Liska a conseillé à l’avenir des CISO et des leaders informatiques avec les pare-feu Sonicwall dans leur environnement informatique pour s’assurer que les appareils sont entièrement corrigés et que la dernière version de Sonicos est en cours d’exécution et pour faire pivoter le mot de passe administrateur. Le Centre canadien pour la cybersécurité a ajouté que l’évolution des mots de passe administratifs est particulièrement importante s’ils étaient reportés lors de la migration de la génération 6 à la génération 7. Les clients devraient également envisager de limiter le nombre de personnes qui ont un accès VPN.
Pour réduire les chances d’être victime de ransomwares, Liska, qui est également membre du groupe de travail sur les ransomwares de l’Institut pour la sécurité et la technologie (IST), les organisations devraient:
- Patch tous les systèmes exposés à Internet dès que les correctifs sont libérés;
- Activer l’authentification multi-facteurs résistante au phishing pour tous les utilisateurs;
- surveiller Internet pour les informations d’identification divulguées;
- Effectuez une campagne de sensibilisation à la sécurité des phishing régulière pour les employés.
Les CISO peuvent également se référer au plan du IST pour la défense des ransomwares pour plus de conseils.
