Les organisations du monde entier apprennent une fois de plus les risques de ne pas installer les mises à jour de sécurité alors que plusieurs acteurs de la menace se précipitent pour exploiter deux vulnérabilités récemment corrigées qui leur permettent d’infecter certaines des parties les plus critiques d’un réseau protégé.
Les vulnérabilités ont toutes deux des cotes de gravité de 9,8 sur 10 possibles et résident dans deux produits indépendants cruciaux pour la sécurisation des grands réseaux. Le premier, identifié comme CVE-2022-47966, est une vulnérabilité d’exécution de code à distance de pré-authentification dans 24 produits distincts du fabricant de logiciels Zoho qui utilisent le ManageEngine de l’entreprise. Il a été corrigé par vagues d’octobre à novembre dernier. La deuxième vulnérabilité, CVE-2022-39952, affecte un produit appelé FortiNAC, fabriqué par la société de cybersécurité Fortinet et a été corrigé la semaine dernière.
ManageEngine et FortiNAC sont tous deux facturés comme des produits de confiance zéro, ce qui signifie qu’ils fonctionnent en supposant qu’un réseau a été violé et surveillent en permanence les appareils pour s’assurer qu’ils ne sont pas infectés ou qu’ils n’agissent pas de manière malveillante. Les produits Zero-Trust ne font confiance à aucun périphérique ou nœud réseau sur un réseau et travaillent plutôt activement pour vérifier qu’ils sont sûrs.
24 produits Zoho concernés
ManageEngine est le moteur qui alimente une large gamme de logiciels et d’appliances de gestion de réseau de Zoho qui exécutent des fonctions essentielles. AD Manager Plus, par exemple, aide les administrateurs à configurer et à gérer Active Directory, le service Windows permettant de créer et de supprimer tous les comptes d’utilisateurs sur un réseau et de déléguer les privilèges système à chacun. Password Manager Pro fournit un coffre-fort numérique centralisé pour stocker toutes les données de mot de passe d’un réseau. D’autres produits activés par ManageEngine gèrent les ordinateurs de bureau, les appareils mobiles, les serveurs, les applications et les centres de services.
CVE-2022-47966 permet aux attaquants d’exécuter à distance du code malveillant en émettant une requête HTTP POST standard qui contient une réponse spécialement conçue à l’aide du Security Assertion Markup Language. (SAML, en abrégé, est un langage standard ouvert que les fournisseurs d’identité et les fournisseurs de services utilisent pour échanger des données d’authentification et d’autorisation.) La vulnérabilité découle de l’utilisation par Zoho d’une version obsolète d’Apache Santuario pour la validation de signature XML.
Publicité
En janvier, environ deux mois après que Zoho a corrigé la vulnérabilité de ManageEngine, la société de sécurité Horizon3.ai a publié une analyse approfondie comprenant un code d’exploitation de preuve de concept. En l’espace d’une journée, des entreprises de sécurité telles que Bitdefender ont commencé à voir un groupe d’attaques actives de plusieurs acteurs de la menace ciblant des organisations du monde entier qui n’avaient toujours pas installé la mise à jour de sécurité.
Certaines attaques ont exploité la vulnérabilité pour installer des outils tels que la ligne de commande Netcat et, à partir de là, le logiciel de connexion à distance Anydesk. En cas de succès, les acteurs de la menace vendent l’accès initial à d’autres groupes de menaces. D’autres groupes d’attaque ont exploité la vulnérabilité pour installer un logiciel de rançon connu sous le nom de Buhti, des outils de post-exploitation tels que Cobalt Strike et RAT-el, et des logiciels malveillants utilisés pour l’espionnage.
“Cette vulnérabilité est un autre rappel clair de l’importance de maintenir les systèmes à jour avec les derniers correctifs de sécurité tout en employant une solide défense de périmètre”, ont écrit les chercheurs de Bitdefender. “Les attaquants n’ont pas besoin de rechercher de nouveaux exploits ou de nouvelles techniques lorsqu’ils savent que de nombreuses organisations sont vulnérables aux anciens exploits en raison, en partie, du manque de gestion des correctifs et de gestion des risques.”
Les représentants de Zoho n’ont pas répondu à un e-mail sollicitant des commentaires sur ce message.
FortiNAC sous attaque “massive”
CVE-2022-39952, quant à lui, réside dans FortiNAC, une solution de contrôle d’accès au réseau qui identifie et surveille chaque appareil connecté à un réseau. Les grandes organisations utilisent FortiNAC pour protéger les réseaux technologiques opérationnels dans les systèmes de contrôle industriels, les appareils informatiques et les appareils Internet des objets. La classe de vulnérabilité, connue sous le nom de contrôle externe du nom de fichier ou du chemin, permet à des attaquants non authentifiés d’écrire des fichiers arbitraires sur un système et, à partir de là, d’obtenir l’exécution de code à distance qui s’exécute avec des privilèges root illimités.
Fortinet a corrigé la vulnérabilité le 16 février et en quelques jours, des chercheurs de plusieurs organisations ont signalé qu’elle était sous exploitation active. Les avertissements provenaient d’organisations ou d’entreprises, notamment Shadowserver, Cronup et Greynoise. Une fois de plus, Horizon3.ai a fourni une analyse approfondie de la cause de la vulnérabilité et de la manière dont elle pourrait être militarisée.
Publicité
“Nous avons commencé à détecter l’installation massive de Webshells (portes dérobées) pour un accès ultérieur aux appareils compromis”, ont écrit des chercheurs de Cronup.
La vulnérabilité est exploitée par ce qui semble être plusieurs acteurs de la menace dans des tentatives d’installation de différents shells Web, qui fournissent aux attaquants une fenêtre de texte à travers laquelle ils peuvent émettre des commandes à distance.
Dans un article de blog publié jeudi, le CTO de Fortinet, Carl Windsor, a déclaré que la société effectuait régulièrement des audits de sécurité internes pour trouver des bogues de sécurité dans ses produits.
“Il est important de noter que c’est au cours de l’un de ces audits internes que l’équipe Fortinet PSIRT elle-même a identifié cette vulnérabilité d’exécution de code à distance”, a écrit Windsor. “Nous avons immédiatement corrigé et publié cette découverte dans le cadre de notre avis PSIRT de février. (Si vous n’êtes pas abonné à nos avis, nous vous recommandons fortement de vous inscrire en utilisant l’une des méthodes décrites ici.) La politique Fortinet PSIRT équilibre notre culture de transparence avec notre engagement. à la sécurité de nos clients.”
Ces dernières années, plusieurs produits Fortinet ont fait l’objet d’une exploitation active. En 2021, un trio de vulnérabilités dans le VPN FortiOS de Fortinet – deux corrigées en 2019 et une un an plus tard – ont été ciblées par des attaquants tentant d’accéder à plusieurs services gouvernementaux, commerciaux et technologiques. En décembre dernier, un acteur malveillant inconnu a exploité une vulnérabilité critique différente dans le FortiOS SSL-VPN pour infecter le gouvernement et les organisations liées au gouvernement avec des logiciels malveillants avancés sur mesure. Fortinet a discrètement corrigé la vulnérabilité fin novembre, mais ne l’a divulguée qu’après le début des attaques dans la nature. La société n’a pas encore expliqué pourquoi ni précisé sa politique en matière de divulgation des vulnérabilités de ses produits.
Les attaques de ces dernières années montrent que les produits de sécurité conçus pour empêcher les attaquants d’accéder aux réseaux protégés peuvent être une arme à double tranchant qui peut être particulièrement dangereuse lorsque les entreprises ne les divulguent pas ou, plus récemment, que les clients n’installent pas les mises à jour. Quiconque administre ou supervise des réseaux utilisant ManageEngine ou FortiNAC doit vérifier immédiatement s’il est vulnérable. Les publications de recherche ci-dessus fournissent une multitude d’indicateurs que les gens peuvent utiliser pour déterminer s’ils ont été ciblés.