Les administrateurs de VMware et de certains appareils de Cisco Systems sont prévenus d’installer des correctifs dès que possible pour corriger des vulnérabilités graves.
Plusieurs vulnérabilités dans Aria Operations for Networks de VMware ont été découvertes, avec des correctifs publiés plus tôt cette semaine. Pendant ce temps, les chercheurs de Rapid7 ont publié cette semaine un rapport détaillé sur les vulnérabilités des versions physiques et virtuelles des appareils VPN SSL ASA de Cisco ciblées par ceux qui déploient le rançongiciel Akira. Cela a été rapporté la semaine dernière dans le balado Cyber Security Today.
VMware a déclaré que le problème le plus grave (CVE-2023-34039) dans Aria Operations for Networks est qu’il contient une vulnérabilité de contournement d’authentification en raison d’un manque de génération de clé cryptographique unique. Un cybercriminel disposant d’un accès réseau à l’application pourrait contourner l’authentification SSH pour accéder à l’interface Aria Operations for Networks. Cela donne à la vulnérabilité un score de base CVSSv3 de 9,8.
La deuxième vulnérabilité (CVE-2023-20890), évaluée à 7,2, est un bogue d’écriture de fichier arbitraire. Un cybercriminel authentifié disposant d’un accès administratif à Aria Operations for Networks peut écrire des fichiers dans des emplacements arbitraires, entraînant ainsi l’exécution de code à distance.
Rapid7 a déclaré que ses chercheurs ont détecté une augmentation des tentatives d’intrusion dans les appareils VPN SSL Cisco ASA remontant au moins à mars 2023. Dans certains cas, des adversaires ont mené des attaques de bourrage d’identifiants qui exploitaient des mots de passe faibles ou par défaut, indique le rapport. Dans d’autres cas, l’activité semble être le résultat d’attaques ciblées par force brute sur les appareils ASA où l’authentification multifacteur (AMF) n’était pas activée ou n’était pas appliquée pour tous les utilisateurs d’un groupe. Plusieurs incidents ont abouti au déploiement de rançongiciels par les groupes Akira et LockBit.
Rapid7 a identifié au moins 11 de ses clients ayant subi des intrusions liées à Cisco ASA entre le 30 mars et le 24 août.
Conseil pour les professionnels de la sécurité de l’information et les formateurs en sensibilisation à la sécurité : dans la plupart des incidents sur lesquels Rapid7 a enquêté, les cybercriminels ont tenté de se connecter aux appareils ASA avec un ensemble commun de noms d’utilisateur, notamment :
- admin
- adminadmin
- backupadmin
- kali
- cisco
- guest
- accounting
- developer
- ftp user
- training
- printer
- echo
- security
- inspector
- test test
- snmp
Autre élément intéressant du rapport : en février, un courtier d’accès initial bien connu appelé « Basserlord » a été observé sur les forums XSS en train de vendre un guide sur l’intrusion dans les réseaux d’entreprise. Le guide, qui comprenait des chapitres sur le forçage brutal des VPN SSL, était vendu pour 10 000 $ US. Lorsque plusieurs autres forums ont commencé à divulguer des informations sur le guide, Basserlord a également proposé de louer l’accès au guide pour seulement 300 $ US pour un mois.
Rapid7 a obtenu une copie divulguée du manuel, qui inclut l’affirmation selon laquelle l’auteur avait compromis 4 865 services VPN SSL Cisco et 9 870 services VPN Fortinet avec la combinaison nom d’utilisateur/mot de passe test:test.
« Il est possible », indique le rapport, « qu’étant donné le moment choisi pour la discussion sur le Web caché et l’activité accrue des menaces que nous avons observés, les instructions du manuel ont contribué à l’augmentation des attaques par force brute ciblant les VPN Cisco ASA. »
Adaptation et traduction française par Renaud Larue-Langlois.
