Informatique

Les Etats-Unis, le Royaume-Uni et l’Australie épinglent

Les Etats-Unis, le Royaume-Uni et l'Australie épinglent l'Iran pour avoir exploité des failles de Fortinet et d'Exchange

Les autorités des Etats-Unis, du Royaume-Uni et de l’Australie ont demandé aux administrateurs de corriger immédiatement quatre vulnérabilités – CVE-2021-34473, 2020-12812, 2019-5591 et 2018-13379 – après avoir attribué certaines attaques à des cyberattaquants soutenus par l’Iran.

« Le FBI et le CISA ont observé que ce groupe APT soutenu par le gouvernement iranien exploite les vulnérabilités de Fortinet depuis au moins mars 2021, ainsi qu’une vulnérabilité Microsoft Exchange ProxyShell depuis octobre 2021, afin d’obtenir un accès initial aux systèmes avant des opérations de suivi, qui incluent le déploiement de ransomwares », indique un communiqué conjoint.

« L’Australian Cyber Security Centre sait également que ce groupe APT a utilisé la même vulnérabilité Microsoft Exchange en Australie. »

Failles Fortinet et Exchange

Plutôt que de s’en prendre à un certain secteur de l’économie, les autorités pensent que les attaquants s’attachent simplement à exploiter les vulnérabilités lorsque c’est possible. Puis, après l’opération, ils essayent de transformer cet accès initial en exfiltration de données, en attaque par ransomware ou en extorsion.

En utilisant les failles de Fortinet et d’Exchange pour l’accès, les attaquants ont ensuite ajouté des tâches au planificateur de tâches de Windows et créé de nouveaux comptes sur les contrôleurs de domaine et d’autres systèmes pour ressembler aux comptes existants afin de maintenir l’accès. L’étape suivante consistait à activer BitLocker, à laisser une demande de rançon et à récupérer les données par FTP.

En avril, le FBI et le CISA ont émis des avertissements concernant les vulnérabilités des équipements Fortinet activement exploitées, et les autorités ont placé Fortinet dans le top 30 des vulnérabilités exploitées en juillet.

Par ailleurs, mercredi, Microsoft a émis son propre avertissement concernant six groupes iraniens qui utilisaient des vulnérabilités dans les mêmes produits, pour diffuser des ransomwares. Les vulnérabilités Exchange citées, connues sous le nom de ProxyShell, ont été initialement exploitées par des pirates soutenus par Pékin.

Source : ZDNet.com




Source link

Articles similaires

Bouton retour en haut de la page