En exploitant une vulnérabilité de FortiOS (un système d’exploitation principalement utilisé sur les produits VPN SSL Fortigate de Fortinet), les attaquants ont récemment réussi à infiltrer des logiciels malveillants appelés « Cring » dans les réseaux des victimes afin de rendre des systèmes entiers inaccessibles dans le pire des cas. Les entreprises industrielles occidentales semblent particulièrement touchées. Découvrez à quoi ressemble l’attaque et ce que vous pouvez faire pour la prévenir.
Que s’est-il passé ?
La semaine dernière, des chercheurs en sécurité de la société de logiciels Kaspersky ont rapporté la découverte d’un nouveau ransomware. C’est un programme qui chiffre des fichiers ou des systèmes entiers, après quoi une rançon est exigée de l’utilisateur afin qu’ils puissent être à nouveau libérés. Les cybercriminels utilisent ce logiciel nouvellement découvert en exploitant des produits « Fortigate SSL VPN » non patchés – c’est-à-dire via des appareils sans mises à jour de sécurité actuelles. Les chercheurs ont constaté que les entreprises industrielles des pays européens sont les principales cibles de ces attaques. Le malware a été nommé « ransomware Cring ». La vulnérabilité utilisée pour distribuer le malware, qui a reçu le numéro CVE-2018-13379, a été découverte pour la première fois en 2018. Depuis, les appareils Fortinet ont été attaqués à plusieurs reprises. La combinaison de la vulnérabilité liée au nouveau malware « Cranc », connu depuis 2018, décrite au début est une menace nouvellement découverte qui ne doit pas être ignorée en raison de ses graves conséquences.
Quels sont les risques pour mon entreprise ?
Si elle réussit, cette attaque à distance peut entraîner le chiffrement des fichiers et des ordinateurs et donc inutilisables. Mais surtout, les serveurs utilisés pour contrôler le processus industriel (par exemple, pour la production de biens) peuvent également être chiffrés – par conséquent, le processus serait également arrêté.
Comment fonctionne l’attaque en détail ?
L’attaque entière est en plusieurs étapes et complexe. Les auteurs obtiennent un accès initial via des vulnérabilités non fermées et donc des dispositifs VPN Fortinet vulnérables. Cela ne permet pas directement que les appareils FortiOS eux-mêmes soient compromis. Mais cela permet aux attaquants d’obtenir toutes les combinaisons de noms d’utilisateur et de mots de passe de tous les utilisateurs VPN (qui se sont authentifiés sur l’appareil au moins une fois) – si le point d’accès VPN de l’appareil est configuré pour fournir des services VPN à l’entreprise.
Si l’attaquant accède à ces informations, il peut utiliser les identifiants VPN d’un employé de l’entreprise pour accéder au réseau interne, rendu accessible via le tunnel VPN. Tout d’abord, cela ne signifie pas qu’un criminel peut compromettre tous les systèmes du réseau simplement en exploitant cette seule vulnérabilité. Mais il acquiert une meilleure compréhension du réseau. De cette façon, il est possible de lancer d’autres attaques. Si la victime fait preuve de négligence, les comptes VPN sont liés aux comptes de domaine (comme dans l’exemple de Kaspersky). Cela peut permettre de se connecter à un ordinateur avec un accès à distance et d’infecter le réseau depuis là.
Que puis-je faire ?
Nous vous recommandons de procéder en plusieurs étapes :
Étape 1
Vérifiez si vous ou votre entreprise possédez des produits VPN SSL Fortigate . Puisque les appareils doivent être achetés ou loués, cela doit être étudié via l’administration informatique ou, si nécessaire, via le service comptable.
Étape 2
Si oui, vérifie quelle version tu as. Les versions suivantes sont vulnérables :
FortiOS 6.0 – 6.0.0 à 6.0.4
FortiOS 5.6 – 5.6.3 à 5.6.7
FortiOS 5.4 – 5.4.6 à 5.4.12
Étape 3
Mettez à jour le logiciel de l’appareil vers la dernière version. N’oubliez pas de toujours garder les systèmes à jour, même si vos appareils ne figurent pas dans la liste des appareils vulnérables ci-dessus.
Étape 4
Mettez à jour votre logiciel de sécurité vers les dernières versions et maintenez-le toujours à jour. Assurez-vous également que tous les modules de vos solutions de sécurité sont toujours activés.
Étape 5
Examinez les politiques de sécurité de votre organisation et assurez-vous que les utilisateurs ne sont autorisés à se connecter qu’aux systèmes nécessaires à leurs besoins opérationnels.
Étape 6
Restreignez l’accès VPN entre différents emplacements, fermez tous les ports non nécessaires à des fins opérationnelles.
Étape 7
Assurez-vous d’avoir au moins trois copies de sauvegarde régulièrement mises à jour de vos systèmes critiques qui vous permettraient de rétablir vos opérations en cas d’attaque imprévue.
Si vous avez des questions ou soupçonnez d’avoir été attaqué, n’hésitez pas à nous contacter.
