Alertes de cybersécurité en Belgique: voilà pourquoi se soucier des piratages de Pulse Secure et SonicWall

La loi des séries. Les solutions de protection utilisées notamment dans des entreprises, universités ou hôpitaux belges Pulse Connect Secure et SonicWall Email Security accusent de nouvelles failles. Vulnérabilités que des acteurs malveillants exploitent déjà activement à l’étranger. La Cyber Emergency Team fédérale CERT.be conseille aux administrateurs de réagir sans tarder.

Le bal mondial des cyberattaques semble se poursuivre à un rythme soutenu. Cette fois, c’est au tour de deux solutions IT qui pourraient vous sembler inconnues en Belgique mais qui sont en fait familières en entreprises ou dans la communauté universitaire entre autres.

D’un côté, Pulse Connect Secure, le système VPN fourni par la société américaine du même nom, Pulse Secure, qui permet d’établir une connexion normalement sécurisée. De l’autre, SonicWall Email Security, un service basé sur le cloud de l’entreprise californienne homonyme, SonicWall, qui est censé protéger les réseaux informatiques au niveau le plus souvent emprunté par les cybercriminels, les courriers électroniques.

Vols à la clé

Pulse Secure a déclaré dans un communiqué que des hackeurs avaient profité de la faille pour s’introduire dans les systèmes d’un ‘nombre très limité de clients’.

Cette faiblesse découverte dans Pulse Connect Secure est une vulnérabilité dite de contournement d’authentification qui peut permettre à un utilisateur non authentifié d’effectuer une exécution de fichier arbitraire à distance sur le portail. Les cybercriminels lancent activement des attaques visant à voler des clés de chiffrement, des mots de passe et d’autres données sensibles sur des serveurs VPN ainsi vulnérables.

Sinistre total

Émettant également un avis de sécurité urgent, SonicWall a tenu un discours du même genre en annonçant que des vulnérabilités avaient été exploitées ‘in the wild, jargon qui signifie que des logiciels malveillants peuvent être trouvés sur les appareils des utilisateurs normaux.

Un acteur malveillant parvenant à exploiter ces failles pourrait installer une backdoor, une porte dérobée pour accéder aux fichiers et e-mails et se déplacer latéralement dans le réseau de l’infrastructure ciblée. La plus grave des trois vulnérabilités ouvre la possibilité de créer un compte admin, ce qui peut conduire à une compromission complète du système.

Mises à jour recommandées

Pour répondre à la cybermenace, l’équipe d’intervention fédérale CERT.be présente différentes recommandations. Concernant SonicWall, l’organe cyber conseille à tous les administrateurs de systèmes de mettre à niveau les instances qu’ils hébergent, pour les faire passer aux versions corrigées adéquates si ce n’est déjà fait.

En attendant que la mise à jour logicielle des instances Pulse Secure soit disponible, le CERT.be recommande déjà aux administrateurs de tester leur infrastructure avec l’Integrity Checker Tool. Par ailleurs, autre mesure d’atténuation conseillée, deux composants de PCS, Windows File Share Browser et Pulse Secure Collaboration doivent être momentanément désactivés.

Attaques répétées

Ces intrusions marquent le dernier épisode en date d’une saga cybersécuritaire impliquant des fournisseurs tiers d’envergure, avec SolarWinds, Microsoft Exchange ou encore Codecov. Cette autre entreprise américaine, qui propose des outils d’audit de code source et compte parmi ses clients des Google, AXA et autres enseignes populaires, a elle aussi été victime d’un piratage massif qui aurait déjà fait des centaines de victimes connues.

Ironie du sort, à l’heure d’écrire ces lignes, le CERT.be signale une vague de ransomwares ciblant les serveurs de stockage en réseau (NAS) de la société taïwanaise QNAP. Ces appareils de stockage de données utilisés par des particuliers comme des professionnels servent à conserver des photos, des vidéos, de la musique et des documents. Les attaquants exploitent ici les périphériques vulnérables, extraient les fichiers dans des archives protégées par mot de passe sans lequel tout restera illisible pour les victimes. Pour obtenir l’accès, il faut alors honorer une demande de rançon, de plus de 450 euros dans le cas présent.

Pour aller plus loin:

Plus