Il y a quelques semaines, une liste de noms d’utilisateurs, de mots de passe et d’adresses IP de plus de 900 serveurs VPN Pulse Secure a été publiée en ligne. Cette liste contenait également les clés SSH associées à chaque serveur, une liste de tous les utilisateurs locaux et leurs empreintes de mots de passe, les détails du compte administrateur, les cookies de sessions VPN et les dernières connexions à ces dispositifs. Alors, comment les cybercriminels ont-ils pu mettre la main sur autant d’informations ?
La liste divulguée mettait en évidence la version de firmware de chaque serveur VPN et il s’est avéré que tous les serveurs concernés exécutaient une version ancienne exposée à une vulnérabilité bien connue : CVE-2019-11510, une vulnérabilité au coeur de Pulse Secure, le plus déployé des types de VPN SSL d’entreprise.
Ces problématiques ont besoin d’être adressées pour éviter que de telles attaques se reproduisent, alors que le Ministre de la Santé, Olivier Véran, recommande aux entreprises de recourir autant que possible au télétravail pour ralentir la propagation du coronavirus.
Selon les chercheurs, les cybercriminels à l’origine de cette compromission auraient scanné toutes les adresses internet IPv4, puis exploité la vulnérabilité afin d’accéder aux données des serveurs et systèmes sensibles de chaque entreprise. L’horodatage a permis de constater que les informations volées ont été recueillies entre le 24 juin et le 8 juillet 2020.
De plus, au moment de l’analyse, 617 des 913 adresses IP volées et publiées étaient toujours vulnérables à la faille CVE-2019-11510, bien que la vulnérabilité ait été rendue publique un an plus tôt, en août 2019. Et ce malgré le fait que les utilisateurs ont été encouragés à installer la mise à jour et à modifier les mots de passe associés.
L’utilisation des serveurs VPN a grimpé en flèche avec l’augmentation du travail à distance – une étude Statista indique une augmentation de 124% en mars 2020 seulement. Afin d’accéder au réseau de leur entreprise à distance, les employés et les intervenants externes utilisent des VPN pour accéder aux comptes administrateurs et aux applications confidentielles de l’entreprise. Néanmoins, ces réseaux privés virtuels ne sont pas conçus pour offrir des accès sécurisés aux systèmes critiques ; les cybercriminels ont ainsi saisi cette opportunité de recours massif aux dispositifs VPN pour propager des cyberattaques.
L’exploitation des vulnérabilités des serveurs VPN et l’accès à des systèmes sensibles permettent aux pirates informatiques de déployer des ransomwares, de chiffrer des réseaux entiers et d’exiger des rançons aux montants exorbitants. A titre d’exemple, aux États-Unis, la demande de rançon moyenne d’un ransomware est de 84 000 dollars et les incidents entraînent généralement 16 jours d’interruption. Cela représente un coût approximatif de 10 000 dollars par jour. Bien que les VPN aient joué un rôle incontestable dans cette fuite de données, particulièrement médiatisée, les organisations doivent complètement réévaluer la façon dont elles fournissent aux utilisateurs un accès à distance à leur réseau d’entreprise.
Ainsi, les entreprises peuvent s’appuyer sur les progrès réalisés en matière de Zero Trust – dispositif permettant un accès progressif à un système critique, plutôt qu’à l’ensemble du réseau – l’authentification biométrique multifactorielle (MFA) et l’approvisionnement juste-à-temps pour permettre aux organisations d’atteindre un équilibre entre sécurité et collaboration, à moindre coût, afin de mettre en relation les collaborateurs et les intervenants extérieurs. De telles approches, combinées à l’isolation et à la gestion des sessions à privilèges éliminent, dans certains cas, la nécessité d’un VPN, et avec elle, la charge de travail opérationnelle que ce dispositif implique pour les équipes informatiques.
Les télétravailleurs sont toujours plus nombreux et les organisations dépendent de plus en plus de tiers pour mener à bien leurs opérations : il est donc essentiel d’utiliser des moyens innovants permettant d’accorder des accès à privilèges sécurisés aux employés à distance sans perturber les opérations, afin d’assurer la protection des données et des systèmes utilisés par les utilisateurs, et ce, quel que soit l’endroit où ils se trouvent.
___________________
Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud chez CyberArk