La National Security Agency (NSA), l’agence américaine de cybersécurité (CISA) et le bureau fédéral d’enquêtes (FBI) viennent de dresser le top 20 des principales failles logicielles utilisées depuis 2020 par des pirates informatiques soutenus par la Chine. Selon cet avis conjoint, les réseaux du gouvernement américain et de ses alliés, mais aussi les entreprises du secteur de la technologie ou de la défense, sont fortement ciblés par ces hackers.
En France, l’Anssi, le cyberpompier français, avait également dénoncé dans son dernier rapport annuel la forte activité d’espionnage informatique liée à des modes opératoires réputés chinois. « La montée en puissance de la Chine se traduit notamment par une activité cyber extrêmement importante, peut-être plus importante ces derniers mois que celle de la Russie », remarquait également il y a quelques jours Stéphane Bouillon, le secrétaire général de la Défense et de la Sécurité nationale, la tutelle du SGDSN, devant des sénateurs.
L’une des menaces les plus importantes
« La NSA, la CISA et le FBI continuent d’estimer que les cyberactivités parrainées par la Chine constituent l’une des menaces les plus importantes et les plus dynamiques pour les réseaux civils et gouvernementaux des Etats-Unis », notent de leur côté les trois agences. Cette semaine, la CISA a révélé que plusieurs groupes de pirates soutenus par la Chine étaient actifs sur les réseaux d’entreprises de l’industrie de défense, après avoir obtenu un accès par le biais de leur infrastructure Microsoft Exchange Server. Ce service de messagerie est à nouveau sur la brèche après la découverte de vulnérabilités similaires à celles de ProxyShell de l’année dernière.
Parmi les 20 principales failles utilisées par les pirates soutenus par la Chine figurent ainsi quatre failles de Microsoft Exchange Server : CVE-2021-26855, un bug d’exécution de code à distance, ainsi que CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065. Toutes ces vulnérabilités font partie des vulnérabilités de pré-authentification Exchange Server ProxyLogon divulguées en 2021. En juillet, Microsoft a averti que ces failles étaient utilisées en combinaison avec des logiciels malveillants conçus pour les réseaux utilisant le serveur Web IIS (Internet Information Services) de Microsoft pour héberger Outlook sur le web.
Risque pour les organisations qui n’ont pas mis leurs logiciels à jour
Parmi les autres failles couramment utilisées, citons celles d’Apache Log4Shell et celles de la plateforme de partage de code GitLab, du spécialiste des équipements réseaux F5 Networks, de terminaux VPN et de produits populaires de VMware, Cisco ou encore Citrix. Toutes ces failles sont connues du public et présentent un risque pour les organisations qui n’ont pas appliqué les mises à jour logicielles disponibles. Les vulnérabilités de GitLab et d’Atlassian Confluence se distinguent par le fait que les pirates ciblent ainsi les outils de développement et d’exploitation informatique.
« Ces acteurs parrainés par l’Etat continuent d’utiliser des réseaux privés virtuels (VPN) pour dissimuler leurs activités et ciblent les applications web pour établir un accès initial », note la CISA. Bon nombre des 20 principales vulnérabilités « permettent aux acteurs d’obtenir subrepticement un accès non autorisé à des réseaux sensibles, après quoi ils cherchent à se déplacer latéralement vers d’autres réseaux connectés en interne », ajoute-t-elle. Les agences recommandent de mettre à jour leurs logiciels, d’utiliser l’authentification multifactorielle, de désactiver les protocoles inutilisés à la périphérie du réseau, de se débarrasser des appareils en fin de vie, d’adopter le modèle Zero Trust et d’activer la journalisation des systèmes connectés à internet.
Source : ZDNet.com