Plus d’une semaine après la découverte de la faille dans la librairie de chiffrement SSL/TLS OpenSSL, baptisée Heartbleed, les annonces d’attaques utilisant ce bug se multiplient. Dernier épisode en date, les chercheurs de Mandiant, filiale de FireEye, ont découvert une attaque visant les VPN (Virtual Private Network) d’entreprises, avec comme objectif le vol de données.
Christopher Glyer, directeur technique de Mandiant et Chris DiGiamo, consultant senior ont expliqué, dans un post sur un blog, les détails de l’opération : « l’attaquant a envoyé à plusieurs reprises des requêtes Heartbeat (le protocole à l’origine de la faille Heartbeet, NDLR) corrompues au serveur web HTTPS depuis un terminal avec VPN actif. Cette attaque a été compilée avec une version vulnérable d’OpenSSL pour obtenir les identifiants (token) de sessions actives des utilisateurs ». Les deux spécialistes indiquent qu’ « avec ces token, l’attaquant a réussi à détourner plusieurs sessions actives et a forcé le concentrateur VPN à valider son authentification ». Ils ajoutent qu’ « une fois connecté au VPN, le cybercriminel a tenté de pirater des comptes d’autres personnes et d’élever ses privilèges au sein du réseau de l’entreprise ». Autre particularité de cette opération, le système de double-authentification intégré au logiciel de VPN a été contourné.
Mandiant s’est refusé à nommer l’entreprise qui a été victime de cette attaque. Elle a été repérée le 8 avril soit un jour après la publication du papier sur la découverte de la faille Heartbleed. Comme pour les sites web, des précautions sont à prendre. Il faut ainsi commencer par vérifier si son VPN est vulnérable.
Christophe Glyer et Chris DiGiamo prêchent également pour leurs activités en recommandant d’utiliser une analyse de log et les rapports du système de détection d’intrusion pour constater les anomalies sur la fréquence des changements d’adresses IP pendant les sessions VPN. « Un changement d’adresse IP pendant une session est naturel, mais il devient suspect quand il intervient plusieurs fois dans un délai très court avec une alternance de blocs réseaux et de localisations géographiques différents depuis des opérateurs différents », précisent les deux experts. L’idée est à travers de ces incidents de créer des signatures sur les différentes attaques pour mieux les contrer. Enfin, les spécialistes poussent les responsables sécurité des entreprises à regarder attentivement les mises à jour des éditeurs de logiciels VPN en cours de développement et à déployer les correctifs en urgence.
En complément :
Heartbleed: VMware touché, Hyper V épargné
Heartbleed: McAfee met en ligne un outil de test dédié aux internautes
Mandiant a attribué un APT à Sandworm, considéré comme le principal groupe cybercriminel à la…
Les deux startup proposent un connecteur entre la platefome OpenCTI de Filigran et l’EDR de…
Des chercheurs ont mis des agents LLM à l'épreuve dans la détection et l'exploitation de…
Dans la lignée de Signal, iMessage intègre une couche de chiffrement post-quantique.
Douze fournisseurs sont classés dans le dernier Magic Quadrant des infrastructures LAN.
Commvault s'offre Appranix, éditeur d'une plateforme cloud de protection et de restauration des applications.