La principale agence américaine de cybersécurité a ordonné à toutes les agences civiles fédérales de corriger trois vulnérabilités très médiatisées au cours de la semaine prochaine, car elles sont exploitées par des pirates informatiques.
Mercredi, l’Agence de cybersécurité et de sécurité des infrastructures (CISA) https://twitter.com/CISACyber/status/1783178899175711027 deux vulnérabilités de produits Cisco – CVE-2024-20353 et CVE-2024-20359 – ainsi qu’une vulnérabilité affectant l’outil de transfert de fichiers populaire CrushFTP.
Contrairement à la plupart des ajouts au catalogue de vulnérabilités exploitées connues, la CISA a donné aux agences fédérales jusqu’au 1er mai pour corriger les vulnérabilités – le type de délai que l’agence ne prend que pour les bugs considérés comme urgents.
Cisco a publié mercredi des avis et un article de blog sur les deux vulnérabilités, avertissant qu’elles sont exploitées dans le cadre d’une campagne menée par des acteurs malveillants parrainés par l’État.
Les vulnérabilités affectent les appareils de sécurité adaptatifs (ASA) de Cisco et la suite logicielle Firepower Threat Defense (FTD) associée, des gammes de pare-feu et de dispositifs VPN conçus pour protéger les réseaux d’entreprise et les centres de données. Cisco a déclaré qu’un client avait contacté plus tôt cette année des problèmes avec les appareils ASA et que la société avait lancé une enquête aux côtés des responsables de la sécurité de Microsoft.
“Nous avons identifié un acteur jusqu’alors inconnu, désormais suivi sous le nom d’UAT4356 par Talos et STORM-1849 par le Microsoft Threat Intelligence Center”, a déclaré Cisco. Le groupe est également connu des chercheurs sous le nom d’ArcaneDoor.
“Cet acteur a utilisé des outils sur mesure qui démontraient une concentration claire sur l’espionnage et une connaissance approfondie des appareils qu’ils ciblaient, caractéristiques d’un acteur sophistiqué parrainé par l’État”, a déclaré Cisco, notant que les chercheurs ne connaissent toujours pas la méthode d’intrusion initiale. .
« UAT4356 a déployé deux portes dérobées dans le cadre de cette campagne, « Line Runner » et « Line Dancer », qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, notamment la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et potentiellement des mouvements latéraux. a déclaré l’entreprise.
Cisco a refusé de dire quel pays était à l’origine de l’incident, mais Wired, qui a été le premier à rendre compte de la campagne, a déclaré que des sources leur avaient dit que cela “semblait être aligné sur les intérêts de l’État chinois”.
Cisco a ajouté avoir découvert une campagne d’attaque sophistiquée utilisée pour implanter des logiciels malveillants personnalisés “sur un petit ensemble de clients”.
Les attaquants ont mené l’essentiel de leur activité entre décembre 2023 et début janvier 2024, mais Cisco a découvert que les pirates testaient et développaient les méthodes dès juillet 2023.
Cisco a déclaré que la CISA et les agences de cybersécurité d’Australie, du Royaume-Uni et du Canada étaient impliquées dans l’enquête. Les responsables britanniques ont déclaré dans leur propre avis qu’un « redémarrage brutal en débranchant la fiche d’alimentation du Cisco ASA a été confirmé pour empêcher Line Runner de se réinstaller ».
La société a ajouté que les attaques font partie d’une tendance plus large – mise en lumière cette semaine par d’autres sociétés de sécurité de premier plan – d’acteurs d’espionnage soutenus par l’État ciblant des appareils de pointe tels que les VPN et, dans ce cas, les pare-feu.
« Convoités par ces acteurs, les dispositifs de réseau périmétrique constituent le point d’intrusion idéal pour les campagnes d’espionnage. En tant que chemin critique pour les données entrant et sortant du réseau, ces appareils doivent être régulièrement et rapidement corrigés ; utiliser des versions et configurations matérielles et logicielles à jour ; et être étroitement surveillé du point de vue de la sécurité », a déclaré Cisco.
Plus de 2 750 des expositions CrushFTP ont lieu aux États-Unis
CISA a également ajouté mercredi CVE-2024-4040 à la liste KEV – une vulnérabilité qui a suscité l’inquiétude des experts en sécurité en raison de l’utilisation généralisée du service de transfert de fichiers Crush.
La société de recherche en cybersécurité Censys a déclaré avoir découvert plus de 2 750 expositions CrushFTP aux États-Unis, ce qui représente près de la moitié de toutes les expositions dans le monde.
Si elle est exploitée avec succès, la vulnérabilité permettrait à un acteur non authentifié d’accéder potentiellement à toutes les données sensibles qu’un client gère avec le client FTP et de compromettre complètement le système, a déclaré Censys.
Censys a ajouté qu’il était préoccupé car le nombre de CrushFTP exposés observés il y a une semaine n’a pratiquement pas changé, “ce qui suggère que soit les instances sont corrigées et laissées en ligne, soit qu’il n’y a peut-être pas encore de mesures plus larges prises en réponse à cette vulnérabilité.”
Le bug a été annoncé par CrushFTP ce week-end et la société de réponse aux incidents CrowdStrike a déclaré avoir « observé cet exploit utilisé de manière ciblée dans la nature ». CrowdStrike a noté que « plusieurs entités américaines ont été affectées » et a déclaré que les acteurs derrière l’exploitation menaient des « activités de collecte de renseignements » et étaient « peut-être motivés par des raisons politiques ».
L’incident a immédiatement ravivé les inquiétudes concernant une répétition des situations rencontrées en 2023 – où le gang du ransomware Clop a exploité des problèmes dans deux outils de transfert de fichiers populaires pour voler les données de millions d’organisations à travers le monde.
