Les briques de sécurité comme les VPN, les passerelles antivirales et antispam, ou encore les sandbox, sont « des cibles de choix » pour des attaquants. C’est ce que vient de rappeler le Centre de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) dans un retour d’expérience instructif sur les failles des équipements de sécurité.
« La nature, la finalité et l’image associée à ces équipements conduisent souvent à les placer, à tort, au-dessus de tout soupçon ou doute, rappellent ces experts de l’Anssi. Mais comme tout équipement déployé dans un système d’information, ces appareils sont des cibles. Chaque équipement déployé induit de nouveaux risques qui doivent être considérés : un équipement de sécurité est un serveur comme les autres. »
Ce risque fort « n’est aujourd’hui pas suffisamment pris en compte » par les spécialistes de la sécurité informatique, déplore le CERT-FR. La compromission de ces équipements permet pourtant « à un attaquant de compromettre en profondeur le système d’information ». Et ce à cause par exemple de leur position dans l’architecture interne et, dans certains cas, de leur « adhérence » à des comptes privilégiés dans l’Active Directory. Enfin, leur fonctionnement en boite noire crée également « un angle mort dans la supervision de sécurité ».
Failles critiques
Plusieurs vulnérabilités affectant ce genre d’équipements ont été constatées ces dernières années. La dernière en date est relative à des produits CheckPoint. Autre exemple, les failles découvertes dans deux logiciels critiques de la société Ivanti, Ivanti Connect Secure et de Policy Secure Gateway.
Elles se sont traduites par un ciblage d’une centaine d’organisations en France, avait expliqué à la fin de l’hiver l’Anssi.
Sans nommer précisément les vulnérabilités exploitées, les experts de l’Anssi signalent que « l’actualité de ces derniers mois a mis en exergue une exploitation de plus en plus massive de ces vulnérabilités une fois révélées ».
Espionnage et ransomware
En 18 mois, l’agence a compté 7 alertes et 22 avis de sécurité. Autant de failles qui se sont soldées par le traitement ou le suivi de plus d’une centaine d’incidents, « dont certains ont engendré la compromission intégrale du système d’information du bénéficiaire », avertit le CERT-FR.
Outre les campagnes d’espionnage, il s’agit également d’attaques de cybercriminels en vue de déployer un rançongiciel.
Leur intérêt pour ces failles se comprend aisément. Il a fallu de plusieurs jours à plusieurs semaines aux constructeurs « pour mettre à disposition des correctifs efficaces pour l’ensemble des modèles affectés ». Résultat, « certaines vulnérabilités ont été exploitées massivement et à grande échelle, faute de mesures d’atténuation ».
Une dizaine de recommandations à mettre en place
Pour faire face à ces menaces, le CERT-FR suggère une dizaine de recommandations. Il s’agit notamment :
- De s’assurer que ce genre d’équipements « ne disposent pas de droits privilégiés au sein des annuaires Active Directory ou OpenLDAP ».
- Les responsables de la sécurité ont également intérêt à faire veille régulière sur les avis de sécurité et les correctifs
- Quand c’est possible, ils sont invités à « contrôler régulièrement » l’intégrité de ces logiciels
- Et à mettre en œuvre « un déport automatisé des journaux »
- De même, le CERT-FR préconise « de ne pas exposer les interfaces d’administration notamment sur Internet »
- Et à mettre en place l’authentification multi-facteurs
- Il faut enfin « considérer que la simple application du correctif puisse ne pas avoir été suffisante en cas compromission ou de suspicion de compromission »
Dès lors, il faut « envisager une investigation numérique avant une restauration d’usine et un renouvellement de l’ensemble des secrets dont disposait la solution ». Les experts de l’Anssi rappellent en effet qu’ils ont traité « plusieurs cas de re-compromission » d’un système où l’attaquant avait pu réussir à se maintenir « dans ces équipements de bordure ».