Plus d’une semaine après la découverte de la faille dans la librairie de chiffrement SSL/TLS OpenSSL, baptisée Heartbleed, les annonces d’attaques utilisant ce bug se multiplient. Dernier épisode en date, les chercheurs de Mandiant, filiale de FireEye, ont découvert une attaque visant les VPN (Virtual Private Network) d’entreprises, avec comme objectif le vol de données.
Christopher Glyer, directeur technique de Mandiant et Chris DiGiamo, consultant senior ont expliqué, dans un post sur un blog, les détails de l’opération : « l’attaquant a envoyé à plusieurs reprises des requêtes Heartbeat (le protocole à l’origine de la faille Heartbeet, NDLR) corrompues au serveur web HTTPS depuis un terminal avec VPN actif. Cette attaque a été compilée avec une version vulnérable d’OpenSSL pour obtenir les identifiants (token) de sessions actives des utilisateurs ». Les deux spécialistes indiquent qu’ « avec ces token, l’attaquant a réussi à détourner plusieurs sessions actives et a forcé le concentrateur VPN à valider son authentification ». Ils ajoutent qu’ « une fois connecté au VPN, le cybercriminel a tenté de pirater des comptes d’autres personnes et d’élever ses privilèges au sein du réseau de l’entreprise ». Autre particularité de cette opération, le système de double-authentification intégré au logiciel de VPN a été contourné.
Mandiant s’est refusé à nommer l’entreprise qui a été victime de cette attaque. Elle a été repérée le 8 avril soit un jour après la publication du papier sur la découverte de la faille Heartbleed. Comme pour les sites web, des précautions sont à prendre. Il faut ainsi commencer par vérifier si son VPN est vulnérable.
Christophe Glyer et Chris DiGiamo prêchent également pour leurs activités en recommandant d’utiliser une analyse de log et les rapports du système de détection d’intrusion pour constater les anomalies sur la fréquence des changements d’adresses IP pendant les sessions VPN. « Un changement d’adresse IP pendant une session est naturel, mais il devient suspect quand il intervient plusieurs fois dans un délai très court avec une alternance de blocs réseaux et de localisations géographiques différents depuis des opérateurs différents », précisent les deux experts. L’idée est à travers de ces incidents de créer des signatures sur les différentes attaques pour mieux les contrer. Enfin, les spécialistes poussent les responsables sécurité des entreprises à regarder attentivement les mises à jour des éditeurs de logiciels VPN en cours de développement et à déployer les correctifs en urgence.
En complément :
Heartbleed: VMware touché, Hyper V épargné
Heartbleed: McAfee met en ligne un outil de test dédié aux internautes
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…