Le FBI continue sa lutte contre le gang de ransomware LockBit et ses affiliés : les autorités américaines auraient en leur possession pas moins de 7 000 clés de déchiffrement de LockBit 3.0. Si vous avez été victime de ce ransomware, vous êtes invité à prendre contact avec le FBI...
La bonne nouvelle du jour est probablement est liée à l'opération Cronos menée par les forces de l'ordre de 11 pays en février 2024. D'ailleurs, lors de cette opération importante, les autorités étaient parvenues à mettre la main sur 34 serveurs de l'infrastructure LockBit ainsi qu'à des clés de chiffrement (1000 dans un premier temps, puis environ 2500 au total). Désormais, le FBI détiendrait une quantité beaucoup plus importante de clé de déchiffrement...
En effet, à l'occasion d'une conférence sur la cybersécurité organisée à Boston aux États-Unis, Bryan Vorndan, a dévoilé que le FBI détenait 7 000 clés de déchiffrement pouvant profiter aux victimes du ransomware LockBit 3.0 : "En outre, grâce à la perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données et à se remettre en ligne.", peut-on lire. La transcription de son allocution est disponible sur cette page.
Désormais, le message du FBI est clair : si vous avez été victime de LockBit, vous devez entrer en contact avec les autorités, car une clé de déchiffrement est sûrement disponible pour vous permettre de déchiffrer vos données gratuitement. "Nous nous adressons aux victimes connues de LockBit et encourageons toute personne qui pense en avoir été victime à se rendre sur le site de l'Internet Crime Complaint Center, à l'adresse ic3.gov.", a précisé Bryan Vorndan du FBI.
Finalement, malgré tous les efforts des forces de l'ordre, et l'identification récente de LockBitSupp, l'un des leaders du gang de ransomware LockBit, ce groupe de cybercriminels reste toujours très actif et redoutable. Espérons que de nombreuses victimes puissent bénéficier de ces clés de déchiffrement.
À partir d'aujourd'hui, jeudi 6 juin 2024, le portail Orange Cybersecure est accessible à tout le monde ! Son objectif : vous permettre de vérifier facilement et rapidement les liens douteux que vous êtes susceptible de recevoir par e-mail ou SMS.
Avec la solution Orange Cybersecure, les français vont pouvoir vérifier si un lien ("URL") est dangereux ou non. Pour mettre au point cet outil, Orange s'est appuyé sur l'expertise de sa filiale Orange Cyberdefense, spécialisée dans la cybersécurité.
"Sur le portail Cybersecure, toute personne, quel que soit son opérateur, pourra vérifier, gratuitement, par un simple copier/coller, la légitimité d’un site, d’un lien, d’un email ou d’un SMS qui lui semble suspect.", peut-on lire dans le communiqué de presse d'Orange.
Le principe est simple : vous copiez-coller le lien à vérifier, et s'il est déjà connu par la base de données du service, alors la réponse est immédiate. Sinon, cela implique une analyse de la part des experts d'Orange Cyberdefense avant d'avoir une réponse. Ce service sera connecté à une intelligence artificielle capable d'apprendre au fur et à mesure que la base est enrichie par les utilisateurs.
"Comme une application communautaire, plus le moteur est utilisé plus la base de données s’enrichit au bénéfice de tous les français.", précise Orange. Ce service participatif me fait penser au service Waze où les automobilistes peuvent signaler des événements, bien que ce soit dans un tout autre registre.
L'accès à ce service en ligne sera gratuit, bien qu'Orange prévoit une offre payante pour ses clients Orange et Sosh.
Une offre payante pour les clients Orange et Sosh
Le pack Orange Cybersecure est proposé pour ceux qui veulent une solution de protection plus complète. Proposé à 7 euros par mois et sans engagement, cet abonnement intègre la solution de sécurité Orange Cybersecure pour lutter "contre les messages malveillants comme les arnaques sur internet, virus, sites frauduleux, usurpation d’identité etc.", précise Orange qui présente sa solution comme étant plus qu'un simple antivirus.
Un seul abonnement peut être utilisé pour protéger jusqu'à 10 appareils d'un même foyer : tablette, ordinateur, smartphone. Cette offre donne aussi accès à un accompagnement où l'utilisateur peut solliciter l'aide des spécialistes Cyber d'Orange en cas de doute.
"Des spécialistes Cyber qui répondent et les accompagnent 7 jours sur 7 en cas de doute sur la fiabilité d’un site ou d’une application, de piratage de données, de fraude avérée, une aide à l’installation ou toutes autres questions.", peut-on lire.
Après avoir conquis les entreprises, Orange souhaite séduire les particuliers avec sa filiale Orange Cyberdefense. Cette nouvelle offre Cybersecure est lancée en France pour le moment, mais elle devrait être lancée en Europe par la suite, de façon progressive.
Pour tester ce nouveau service, rendez-vous sur cette page :
Comment vérifier si un lien est malveillant avec Orange Cybersecure ?
Comme le montre l'image ci-dessous, il suffit de se rendre sur le portail Orange Cybersecure, de copier-coller le lien à vérifier puis d'appuyer sur le bouton "Vérifier la fiabilité". Après avoir vérifié un captcha, le verdict tombe !
J'ai fait un test avec le lien suivant, associé à un e-mail de phishing aux couleurs du Crédit Mutuel et que j'ai reçu hier midi.
Le portail Orange Cybersecure m'indique, qu'en effet, il s'agit bien d'un lien malveillant. À noter également la source "avis fourni par Google", qui laisse entendre que ce lien a déjà été reporté par d'autres utilisateurs.
J'ai fait un autre test avec le texte d'un e-mail ne contenant pas de liens, mais une pièce jointe malveillante, et le portail m'a retourné une erreur.
En complément, le portail donne accès à différents guides et articles pour accompagner les internautes afin de les sensibiliser et les former aux risques de la cybersécurité. Orange semble même également proposer des ateliers en ligne, accessible sur inscription. Par exemple, il y a un atelier nommé "Atelier : Eviter les arnaques en ligne - atelier en ligne".
L'Offensive Security a publié la deuxième version de l'année 2024 de sa distribution Kali Linux ! L'occasion de faire le point sur les changements apportés à Kali Linux 2024.2, ainsi que sur les 18 nouveaux outils !
Le bug de l'an 2038 a été corrigé dans Kali Linux ! Il s'agit d'un problème similaire au bug de l'an 2000 qui affecte les systèmes informatiques qui comptent le temps en secondes depuis le 1er janvier 1970. C'est notamment le cas de différents systèmes d'exploitation et logiciels, dont les systèmes Linux.
Ce bug doit se déclencher le 19 janvier 2038 à 3 heures 14 minutes et 8 secondes, et à ce moment-là, les systèmes affectés par le bug considéreront alors être le 13 décembre 1901 à 20 heures 45 minutes et 52 secondes. Un retour en arrière brutal et problématique, bien entendu.
Ceci est appelé la transition "t64" : "Pour éviter le problème de l'an 2038, la taille du type time_t a dû être modifiée pour être de 64 bits sur les architectures où elle était de 32 bits.", peut-on lire sur le site de Kali Linux.
Les nouveaux outils de Kali Linux 2024.2
Cette nouvelle version est très riche en nouveaux outils, puisqu'il y a eu 18 nouveaux outils ajoutés à la distribution Kali Linux 2024.2.
Voici la liste de ces outils :
autorecon- Outil de reconnaissance réseau multi-thread, pour énumérer les services.
coercer- Un script Python pour forcer un serveur Windows à s'authentifier sur une machine arbitraire.
sploitscan - Rechercher des informations sur les CVE, à partir de plusieurs bases officielles.
vopono - Exécuter des applications via des tunnels VPN avec des espaces de noms réseau temporaires.
waybackpy - Accéder à l'API de la Wayback Machine en utilisant Python.
Enfin, l'équipe de Kali Linux a mis à jour les environnements de bureau Xfce et GNOME. Ceci se traduit par le passage à GNOME 46, ainsi qu'une mise à jour de Xfce particulièrement pour les modes Kali-Undercover et HiDPI.
Source : Kali.org
Pour obtenir des informations supplémentaires, consultez l'annonce officielle sur le site de Kali.
Les environnements VMware ESXi sont pris pour cible par une nouvelle variante du ransomware TargetCompany, qui vient s'ajouter à la liste des menaces capables de chiffrer les VM des hyperviseurs de VMware. Faisons le point.
Le ransomware TargetCompany, aussi connu sous les noms de Mallox, FARGO et Tohnichi, a été repéré pour la première fois en juin 2021. Dans un premier temps, il a surtout été utilisé pour mener des attaques contre les serveurs de gestion de base de données, que ce soit MySQL, SQL Server ou encore Oracle, en Corée du Sud, en Thaïlande, en Inde et à Taïwan.
Puis, en février 2022, Avast a publié un outil de déchiffrement pour TargetCompany afin d'aider les victimes de ce ransomware à récupérer leurs données gratuitement. Malgré ce coup porté par Avast, le gang de ransomware TargetCompany est rapidement revenu sur le devant de la scène... Notamment en s'attaquant aux serveurs Windows.
Mais, désormais, Trend Micro nous apprend qu'une nouvelle variante de TargetCompany pour Linux cible particulièrement les hyperviseurs VMware ESXi.
VMware ESXi dans le viseur du ransomware TargetCompany
C'est par l'intermédiaire d'un script shell exécuté sur l'hôte compromis que le logiciel malveillant effectue un ensemble de vérifications, pour déterminer sur quel environnement il se situe. Il cherche à déterminer s'il s'exécute sur un serveur VMware ESXi grâce à l'exécution de la commande "uname" à la recherche du mot clé "vmkernel".
Source : Trend Micro / Chaîne d'infection du ransomware TargetCompany
"Le groupe de ransomwares TargetCompany emploie désormais une nouvelle variante Linux qui utilise un script shell personnalisé comme moyen de diffusion et d'exécution de la charge utile, une technique que l'on ne retrouvait pas dans les variantes précédentes.", précise Trend Micro dans son rapport.
En complément, il génère un fichier nommé "TargetInfo.txt" qui recense des informations sur la victime telles que le nom d'hôte, l'adresse IP, l'OS du serveur, l'utilisateur utilisé par le malware, etc.... Et ce fichier est envoyé vers le serveur C2 des attaquants.
S'il est exécuté sur un hyperviseur VMware ESXi, le ransomware passe à l'action dans le but de chiffrer les machines virtuelles. TargetCompany chiffre tous les fichiers relatifs aux machines virtuelles : VMDK, VMEM, VSWP, VMX, VMSN, NVRAM. Les fichiers chiffrés héritent de l'extension ".locked".
Enfin, une demande de rançon nommée "HOW TO DECRYPT.txt" est déposée sur le serveur et le malware termine en supprimant ses traces pour rendre plus difficile les futures investigations. "Une fois que le ransomware a exécuté sa routine, le script supprime la charge utile TargetCompany à l'aide de la commande "rm -f x".", précise Trend Micro.
Consultez le rapport de Trend Micro pour obtenir des détails supplémentaires, notamment les indicateurs de compromission et les URL utilisées par les attaquants.
Lorsque l’on parle d’un VPN, c’est principalement avec l’idée de disposer d’un outil qui va protéger vos données d’un point de vue professionnel (protéger votre équipe avec Surfshark). Ou pour son côté « amusement » comme débloquer les catalogues VOD/streaming, protéger sa TV intelligente, etc.
Mais une autre très bonne façon d’utiliser un VPN est de protéger la famille au sein même de votre habitation. Ce que fait plutôt bien Surfshark pour plusieurs raisons. Et la première n’est autre que le fait qu’il s’agit quasi du seul service du genre à proposer la protection d’un nombre illimité de machines et simultané. Donc que vous soyez célibataire ou que vous viviez avec une famille nombreuse c’est pareil, un seul abonnement et tout le monde en bénéficie.
Bon après même si le nombre d’appareils pris en compte peut être illimité … si la protection est foireuse ça n’a pas grand intérêt. Mais là encore Surfshark répond aux attentes. Outre le fait de n’avoir jamais été prit en flag de mentir sur sa politique de non-conservation de vos activités (multiples audits au fil des années), il repose sur la panoplie des meilleurs standards du domaine : chiffrement AES 256, protocole IKEv2/IPsec, support de Wireguard/OpenVPN/L2TP, etc.
Maintenant, comment est-ce qu’un VPN protège concrètement les utilisateurs de votre maison ?
Déjà en modifiant votre adresse IP. Vous savez sans doute déjà qu’une adresse IP est celle qui identifie votre machine sur Internet. Toutes vos actions y sont liées : achat en ligne, message sur un réseau social, etc. Il est donc assez facile de relier votre comportement en ligne à votre appareil.
Surfshark vous permet de modifier cette dernière en changeant de serveur, de manière aléatoire tous les x temps … ou de la garder fixe si besoin. En changeant d’IP, vous donnez aux sites que vous visitez (même à votre fournisseur d’accès via le mode camouflage) une localisation qui est différente de votre vraie position.
Le chiffrement de vos données est un autre aspect de cette protection. Par défaut tout ce que vous faites en ligne sera chiffré avec les meilleurs algorithmes du moment. Si une personne mal intentionnée venait à intercepter votre trafic, il ne pourrait rien en faire. Ce qui est plutôt appréciable, surtout si vous habitez un pays où le gouvernement en place aime jouer au petit curieux.
L’idéal dans ce cas est bien entendu de sécuriser le routeur de la maison, celui par lequel tout passe. Mais simplement installer le VPN sur tous vos appareils fera aussi très bien le taf. Et ce qui est plutôt cool c’est que Surfshark supporte toutes les religions, de Windows à Linux en passant par macOS, Android, iOS, BlackBerry, vos smart TV, navigateurs et mêmes consoles de jeux. Bref il est plus flexible qu’un contorsionniste.
Un point à prendre en compte est de choisir un VPN qui corresponde à votre situation. On pense souvent à des serveurs situés un peu partout dans le monde sans faire attention à sa propre géoloc. Or vous pouvez très bien avoir envie de regarder un contenu réservé à la France … depuis la France. Sans donner votre position. De ce côté Surfshark est blindé avec ses 3200+ serveurs (quasi tous en 10 Gb/s) répartis dans 100+ pays. Pas le plus grand parc de serveurs des VPN, mais le mieux réparti et avec l’un des meilleurs rapport qualité/prix du marché.
Comme vous êtes l’adulte de la maison (hum hum), ce sera à vous d’éduquer vos enfants sur le sujet. Surtout les plus jeunes (et les plus vieux) qui ne sont pas forcément au courant des risques potentiels dans ce bourg mal famé que sont les Internets. Et avec le pack Surfshark One dont j’ai parlé dernièrement et intégré par défaut depuis peu, il vous permet de disposer en plus d’un antivirus, d’un système d’alerte, de la création d’identité alternative, d’un moteur de recherche privé, d’un surf sans publicités ni traqueurs et un tas d’autres options !
Récemment le site du VPN aux dents de requin a publié un classement mondial de la qualité de vie numérique. Et notre hexagone s’y classe … premier devant la Finlande et le Danemark. Place que l’on doit surtout au prix de nos connexions (merci Free), parce que niveau cybersécu et infrastructure électronique nous sommes bien plus mal placés (autour de la 15e place). Comme quoi il y a encore de la marge.
Et tout cela vous est accessible pour moins de 3.25€/mois TTC (abonnement 2 ans). Satisfait ou remboursé durant 30 jours, donc pas de prise de risques, vous pouvez tester ça au calme et vous faire votre idée. Niveau des modes de paiement il y en a pour tout le monde : de PayPal à la CB, en passant par les solutions comme Google Pay/Amazon Pay et les cryptomonnaies.
L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.
Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.
Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.
Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.
À quoi correspondent ces données personnelles ?
Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.
Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.
En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.
Un nouvel ensemble de 361 millions d'adresses e-mails a été ajouté au service en ligne Have I Been Pwned ! De quoi vous permettre de vérifier si vos identifiants sont présents dans cette liste d'informations collectées à partir de canaux Telegram. Faisons le point.
Un chercheur en sécurité anonyme a transféré à Troy Hunt, le créateur du site Have I Been Pwned (HIBP), un ensemble de fichiers représentants 122 Go de données. Cet ensemble de données correspond à plus de 1 700 fichiers provenant de 518 canaux Telegram différents. Il s'agit d'une action de scraping("moissonnage") effectuée par ce chercheur en sécurité.
Source : troyhunt.com
Au total, ces fichiers contiennent pas moins de 361 millions d'adresses e-mails uniques, dont 151 millions d'adresses e-mails ajoutées pour la première fois sur le site Have I Been Pwned !
À quoi correspondent ces identifiants ? Sont-ils légitimes ?
Ces identifiants peuvent provenir d'une fuite de données suite à une intrusion sur un système par un cybercriminel, à la collecte d'identifiants effectuée par un malware infostealer, à du credential stuffing, etc... Ce qui est certain, c'est que ces identifiants circulent sur des canaux cybercriminels de Telegram. Les pirates n'hésitent pas à divulguer ces identifiants pour accroître leur popularité.
Les données comprennent des identifiants de connexion regroupés par service (par exemple, Gmail, Yahoo, etc.) ou par pays. Aucun site ou service n'est susceptible d'être épargné, notamment s'il s'agit d'un infostealer qui a exfiltré les mots de passe enregistrés dans un navigateur Web.
Tous les fichiers correspondant à cette fuite de 361 millions d'identifiants ne sont pas structurés de la même façon. Il y a des combinaisons d'adresse e-mail et de mot de passe, tandis que d'autres fichiers intègrent l'URL du service en plus de l'adresse e-mail et du mot de passe ! Certains fichiers contiennent des dizaines de millions de lignes.
Source : troyhunt.com
Troy Hunt a passé du temps à analyser ces données, notamment pour déterminer si elles sont légitimes, bien qu'il soit impossible de vérifier l'ensemble des identifiants.
Le résultat est clair : de nombreuses adresses e-mails présentes concernées par une fuite sont correctement associées au site web mentionné dans les fichiers de données fournit par le chercheur en sécurité. Autrement dit, les identifiants distribués sur ces canaux Telegram sont légitimes, au moins pour une partie.
Pour en savoir plus, vous pouvez consulter l'article publié par Troy Hunt. Pour vérifier si vous êtes affecté, rendez-vous sur le service de vérification HIBP.
Kaspersky a publié un nouvel outil gratuit pour analyser les systèmes Linux à la recherche de cybermenaces connues ! Le nom de cet outil : Kaspersky Virus Removal Tool (KVRT). Faisons le point.
Disponible depuis plusieurs années, l'outil Kaspersky Virus Removal Tool était jusqu'alors réservé aux utilisateurs de Windows. L'éditeur Kaspersky a pris la décision de développer une version pour Linux, désormais disponible.
Kaspersky estime que les entreprises ne protègent pas suffisamment leurs machines sous Linux, pensant qu'elles sont immunisées contre les menaces lorsqu'une machine est exécutée avec une distribution Linux. "C'est pourquoi nous avons lancé un produit gratuit dédié qui permet de vérifier les ordinateurs Linux contre les menaces modernes : Kaspersky Virus Removal Tool (KVRT) pour Linux.", peut-on lire sur le site de Kaspersky.
À quoi sert Kaspersky Virus Removal Tool pour Linux ?
Ce nouvel outil ne surveille pas le système en temps réel, mais il est plutôt là pour effectuer une analyse sur une machine à la recherche de menaces déjà présentes. Autrement dit, il sert à effectuer une recherche de logiciels malveillants sur Linux, tout en proposant le nettoyage des menaces détectées. "Il peut détecter à la fois les logiciels malveillants et les adwares, ainsi que les programmes légitimes pouvant être utilisés pour des attaques.", précise Kaspersky.
Pour rechercher les menaces, Kaspersky Virus Removal Tool effectue une analyse en profondeur du système puisqu'il va s'intéresser à tous les fichiers du système, mais pas seulement. Kaspersky apporte des précisions à ce sujet : "Notre application peut analyser la mémoire système, les objets de démarrage, les secteurs d'amorçage et tous les fichiers du système d'exploitation à la recherche de logiciels malveillants connus. Elle analyse les fichiers de tous les formats, y compris ceux archivés."
Comment utiliser Kaspersky Virus Removal Tool sur Linux ?
Cet outil est compatible avec différentes distributions Linux, dont Debian, AlmaLinux, Oracle Linux, Ubuntu, ou encore Red Hat Enterprise Linux. La liste complète des distributions disponibles et des prérequis est disponible sur cette page.
Il doit être téléchargé et exécuté depuis la machine sur laquelle l'analyse doit être effectuée. Kaspersky explique qu'il s'agit d'une application portable, qui ne nécessite pas d'installation. Il est également précisé que la base de l'application n'est pas mise à jour de façon automatique : il convient de télécharger la dernière version, pour détecter les menaces les plus récentes, directement depuis le site de l'éditeur.
Cette application est adaptée aux machines Linux avec ou sans interface graphique : "L'application peut être exécutée via une interface graphique ou via une ligne de commande. Mais vous ne pouvez la lancer que manuellement — il est impossible de configurer une analyse programmée.", peut-on lire.
Enfin, pour bénéficier d'une analyse complète du système, il est recommandé de lancer l'outil à partir du compte "root" ou d'un compte privilégié (via "sudo"). Sinon, l'outil pourrait passer à côté de certaines menaces s'il ne peut pas analyser certaines parties de la machine à cause d'un manque de permissions.
Pour en savoir plus, vous pouvez consulter cette page, tandis que le téléchargement s'effectue à partir de cette page en cliquant sur le lien "Show other platforms".
Montrer que les ransomwares ne sont pas invincibles, voilà la devise de l'outil open source RansomLord ! Cet outil de cybersécurité est capable de détecter et de neutraliser les ransomwares avant même que les données ne soient chiffrées ! Comment est-ce possible ? Voici ce qu'il faut savoir !
Développé par John Page alias "hyp3rlinx", RansomLord est un outil ingénieux et innovant qui a pour objectif de venir court-circuiter le processus de chiffrement de nombreux ransomwares, y compris les plus redoutables. Ce nouvel outil anti-ransomware disponible sur GitHub est une nouvelle arme à disposition des entreprises et des particuliers dans la lutte contre les ransomwares ! Lors d'une attaque, le ransomware est neutralisé avant même de pouvoir chiffrer les données grâce au piège tendu par RansomLord.
Pour cela, RansomLord se présente comme une solution proactive pour faire face aux ransomwares. En effet, il va venir interférer avec le ransomware lors du processus de "pre-encryption" lorsque la menace va chercher à charger des bibliothèques (DLL) sur le système Windows. Il crée ses propres versions de DLL, que le ransomware va charger, et il va ainsi pouvoir mettre fin à l'exécution du ransomware grâce à un code spécial intégré dans les DLL de RansomLord. Autrement dit, il utilise la technique de "DLL hijacking", parfois elle-même utilisée par les cybercriminels !
Source : GitHub - RansomLord
La version 3.1 de RansomLord, publiée il y a quelques jours, est capable de mettre fin au processus de nombreux ransomwares, dont : LockBit, WannaCry, HelloKitty, BlackCat (ALPHV), Royal, ainsi que d'autres moins connus tels que StopCrypt, RisePro, RuRansom, ou encore MoneyMessage.
"RansomLord intercepte désormais les ransomwares testés par 49 groupes de menaces différents et y met fin.", peut-on lire sur le GitHub officiel. Grâce à des mises à jour régulières, l'auteur ajoute la prise en charge de nouveaux ransomwares.
Depuis plusieurs années, les ransomwares représentent une menace croissante pour les entreprises et les particuliers. D'ailleurs, le dernier rapport sur les menaces publié par Red Canary indique que les ransomwares sont la principale menace de ces derniers mois.
VirtualGHOST, c'est le nom d'un nouvel outil publié par CrowdStrike dont l'objectif de mettre en évidence ce que l'on pourrait appeler des machines virtuelles fantômes, cachées sur les hôtes VMware ESXi. Leur présence fait suite à une intrusion par un attaquant. Faisons le point !
À plusieurs reprises, les équipes de CrowdStrike ont identifié des machines virtuelles suspectes sur des infrastructures VMware. Suspectes, car il s'agit de machines virtuelles cachées, en cours d'exécution, et invisibles à partir de l'interface utilisateur utilisée pour administrer la plateforme VMware.
Autrement dit, la VM créée par les attaquants n'apparaît pas dans l'inventaire de VMware ESXi, ni dans celui du vCenter. Pour démarrer la machine virtuelle de façon discrète, l'attaquant doit opérer à partir de la ligne de commande d'un hyperviseur ESXi compromis. En réponse à cette nouvelle technique émergente, l'entreprise américaine CrowdStrike a développé un outil de détection nommé VirtualGHOST ! C'est d'ailleurs le surnom donné par CrowdStrike à ces fameuses machines virtuelles.
Cet outil, disponible sur GitHub, s'appuie sur un script PowerShell nommé "Detect-VirtualGHOST.ps1" qui compare la liste des machines virtuelles enregistrées dans l'inventaire avec celles qui sont effectivement allumées. Ceci permet d'identifier les machines en cours d'exécution, mais non enregistrée sur l'hôte. Lorsqu'une VM suspecte est détectée, l'outil collecte des informations supplémentaires à son sujet, notamment la configuration réseau.
Ce script s'utilise depuis un poste de travail ou un serveur distant et nécessite la présence du module VMware PowerCLI, ce dernier permettant d'exécuter des commandes "esxcli" et donc de vérifier l'état des machines virtuelles.
Remarque : pour fonctionner, le script Detect-VirtualGHOST.ps1 attend deux informations. Le nom DNS du serveur à analyser ou son adresse IP, ainsi que des identifiants pour s'authentifier sur l'API de management VMware.
Voici un exemple de sortie mettant en évidence la présence d'une VM cachée :
Cet outil a été testé par CrowdStrike sur VMware vCenter 8.0.2, ainsi que plusieurs versions de VMware ESXi (6.5.0, 7.0.3, 8.0.0).
Pour plus de détails, vous pouvez consulter le dépôt GitHub de CrowdStrike :
Compte tenu des nombreuses menaces capables de compromettre les hyperviseurs VMware ESXi, il peut s'avérer judicieux d'exécuter cet outil pour analyser son infrastructure.
Le "Red Canary’s 2024 Threat Detection Report" offre une analyse exhaustive des cybermenaces actuelles, détaillant les principales techniques d'attaque et fournissant des recommandations cruciales pour renforcer la cybersécurité des entreprises et des États. Qu'en est-il en 2024 ?
Qu'est-ce que le rapport de Red Canary ?
Le Red Canary’s 2024 Threat Detection Report est un rapport biannuel produit par la société de cybersécurité américaine Red Canary. Il vise à détailler les tendances des menaces pesant sur les entreprises et les États. Ce rapport se base sur plus de 60 000 détections obtenues auprès de plus de 1 000 clients de la société, couvrant des endpoints, des infrastructures cloud, des équipements réseau, des applications SaaS, et plus encore.
Ce rapport de 160 pages détaille les tendances des menaces observées sur le terrain durant la première moitié de l'année 2024.
Qu'est-ce que cela signifie ?
Grâce à sa présence dans de nombreux systèmes d'information, Red Canary est en mesure de capter un grand nombre d'événements de sécurité. Cela permet de dessiner des tendances sur les principales techniques utilisées par les attaquants, les impacts observés lors des cyberattaques, ainsi que les objectifs visés.
À quoi peut me servir ce rapport ?
En lisant ce rapport, avec ses détails techniques et ses conclusions, vous pourrez mieux comprendre les techniques utilisées par les attaquants, le profil de leurs victimes et l'évolution de ces différents éléments dans le temps. En connaissant les menaces qui pèsent sur votre entreprise, vous pourrez anticiper et adapter vos projets de cybersécurité actuels et futurs pour mieux vous défendre contre ces menaces.
Les conclusions de ce rapport peuvent, par exemple, servir à améliorer les systèmes de détection d'intrusion de votre SOC, amener à la réalisation d'audit de sécurité sur des composants spécifiquement ciblés par les attaquants cette année ou simplement améliorer les connaissances de vos équipes de défense.
Intéressons-nous maintenant aux différentes conclusions de ce rapport.
Les tendances des cyberattaques en 2024
Red Canary a effectué une analyse des principales tendances rencontrées lors de cyberattaques confirmées et rapports threat intelligence (renseignement sur la menace) au cours de la dernière année.
Sans surprise, la tendance principale des cyberattaques observées durant ces derniers mois fait apparaitre les ransomwares en haut du classement. Ce business visiblement lucratif a la vie dure et continue année après année à impacter lourdement les entreprises qui en sont victimes.
Les attaques sur les accès initiaux, c'est-à-dire visant à obtenir un premier accès au sein du système d'information d'une entreprise pour ensuite implanter un agent dormant et vendre l'accès au plus intéressé, est également un élément qui demeure très présent dans les observations de 2024. Suivi de près par les attaques ciblant le vol d'identifiants, dont l'impact est d'autant plus grand grâce (ou à cause) de l'implémentation du SSO (Single Sign On).
Parmi les autres tendances observées en 2024, on peut également noter :
L'exploitation de CVE (vulnérabilités publiques) sur des composants non à jour
Le déploiement de stealer, des malwares spécialisés dans la récolte de données sur le système sur lequel ils sont installés, comme les mots de passe dans les navigateurs ou les coffres-fort de mots de passe. On peut notamment citer les malwaresRedLine, Vidar et LummaC2.
L'utilisation d'outils d'administration à distance légitimes comme Atera ou Remco
L'utilisation de tokens (jeton d'authentification) API volés sur les infrastructures cloud : les tokens apparaissent de plus en plus comme des alternatives à durée de vie temporaire à la saisie fréquentes des mots de passe, il faut être conscient que le vol de ceux-ci permet d'usurper l'identité du propriétaire.
L'intelligence artificielle générative, qui fait son apparition depuis quelque temps dans les médias, mais aussi chez les cyberattaquant. Cela particulièrement afin de construire des outils et campagnes de phishing très crédibles, mais aussi pour concevoir de nouveaux malwares rapidement.
La société observée également qu'un quart des détections réalisées sont en fait dues à des opérations de test "légitimes", tel que du bug bounty, des tests d'intrusion ou des opérations red team.
Enfin, il est par ailleurs intéressant de constater que le secteur d'activité n'est plus vraiment un facteur d'augmentation ou de réduction du risque de cyberattaque. Autrement dit, les attaquants ne cherchent plus à cibler un type d'industrie spécifique ou à en éviter d'autres (comme les écoles et les hôpitaux par le passé). À présent, tout le monde est en risque de devenir la cible d'une cyberattaque.
Les principales menaces observées en 2024
Les observations faites par Red Canary sur la fin de 2023 et début 2024 permettent d'identifier les principaux outils utilisés par les cyberattaquants :
La menace qui se démarque le plus, au-dessus de l'utilisation d'outils classiques d'attaque comment impacket et mimikatz, est CharCoal Stork.
Charcoal Stork est un fournisseur de pay-per-install (PPI) qui utilise le malvertising pour distribuer des installateurs, souvent déguisés en jeux piratés, polices ou fonds d'écran. Initialement, Charcoal Stork utilisait des fichiers ISO avec des charges utiles comprenant une application basée sur NodeJS et des commandes PowerShell pour installer ChromeLoader. En 2023, les charges utiles ont évolué pour inclure des fichiers VBS, MSI et EXE.
SmashJacker, par exemple, installe une version piégée de 7-zip qui installe une extension malveillante sur le navigateur. En août 2023, Charcoal Stork a livré des fichiers EXE menant à des logiciels malveillants plus préoccupants comme VileRAT, un RAT (Remote Administration Tool) Python utilisé par DeathStalker.
Si vous souhaitez en savoir plus, notamment afin de détecter la présence de cet élément malveillant dans votre système d'information. Je vous invite à consulter la page dédiée à Charcoal Stork sur le site web de Red Canary.
Vous y trouverez des informations permettant d'identifier des éléments signatures (hash, lignes de commande, nom de fichiers) pouvant trahir sa présence.
Les principales techniques (TTP) des attaquants en 2024
La dernière section du document permet de lister les principales techniques d'attaque observées depuis fin 2023/début 2024. Ces techniques sont identifiées selon les TTP du framework d'attaque du MITRE : ATT&CK
Les techniques ciblant les systèmes d'exploitation Windows sont bien sûr en tête de liste, cela est en lien direct avec le fait qu'il s'agit d système le plus utilisé pour les postes utilisateur. On y retrouve donc les TTP liés à l'exécution de commande batch et PowerShell (présent dans 22.1% des cyberattaques observées !) ainsi que WMI (Windows Management Instrumentation).
Il est à noter la montée fulgurante du TTP Cloud Account, qui passe de la 46ᵉ place en 2022 à la 4ᵉ aujourd'hui. Cette technique (T1078.004 - Cloud Accounts) vise à utiliser des identifiants volés d'environnement Cloud pour réaliser un premier accès à une cible, mais aussi de la persistance, de l'élévation de privilège ou de l'évasion de défense.
Conclusion
Le Red Canary’s 2024 Threat Detection Report nous offre une analyse détaillée des tendances actuelles en matière de cybersécurité. Les données recueillies donnent des informations très importantes pour mieux protéger votre système d'information et votre entreprise.
Je vous recommande sa lecture (un peu longue certes, mais très instructive), si vous voulez avoir plus de détails et comprendre en profondeur les principales tendances des menaces en 2024 :
Des versions piratées de la suite Microsoft Office diffusées via sites de torrents sont utilisées par les cybercriminels pour diffuser plusieurs logiciels malveillants : Cheval de Troie d'accès à distance, mineur de cryptomonnaie, etc... ! Faisons le point.
Une nouvelle campagne malveillante identifiée par le Security Intelligence Center d'AhnLab (ASEC) alerte sur les dangers du téléchargement de logiciels piratés. Malheureusement, ce n'est pas une évidence pour tout le monde et les adeptes de téléchargements illégaux restent très nombreux dans le monde entier. Les cybercriminels l'ont bien compris... Et, ils exploitent des versions piratées de Microsoft Office diffusées sur des sites de torrents pour distribuer un ensemble de malwares.
Les utilisateurs qui téléchargent et installent ces versions piratées de Microsoft Office se retrouvent infectés par divers types de logiciels malveillants, notamment des chevaux de Troie d'accès à distance (RATs), des mineurs de cryptomonnaie, etc.
Un programme d'installation trompeur !
Le programme de la version piratée de Microsoft Office présente une interface bien conçue, et plutôt trompeuse pour les utilisateurs. Nous pourrions même dire qu'elle est plutôt rassurante, car elle permet aux utilisateurs de choisir la version, la langue et la variante (32 ou 64 bits) qu'ils souhaitent installer.
Voici un aperçu :
Source : ASEC
Cependant, ce n'est que la face visible de ce programme d'installation. En effet, pendant ce temps, en arrière-plan, il lance un malware qui se connecte à un canal Telegram ou Mastodon, à partir duquel il pourra obtenir un lien menant vers Google Drive ou GitHub pour télécharger des logiciels malveillants. Ces services légitimes présentes l'avantage de ne pas alerter les solutions de sécurité.
Des charges utiles dangereuses...
Lors de leurs analyses, les chercheurs Coréens sont parvenus un ensemble de malwares, dont voici la liste :
Orcus RAT : permet un contrôle à distance complet, incluant la capture des frappes au clavier, l'accès à la webcam de l'ordinateur, la possibilité de prendre des captures d'écran ou encore d'exfiltrer des données.
XMRig : un mineur de cryptomonnaie utilisant les ressources du système pour miner du Monero. Pour éviter d'être détecté, le minage est arrêté lorsque l'utilisateur sollicite de façon intensive les ressources de la machine.
3Proxy : convertit les systèmes infectés en serveurs proxy, permettant aux attaquants de router du trafic malveillant, par l'intermédiaire du port 3306.
PureCrypter : télécharge et exécute des charges malveillantes supplémentaires à partir de sources externes.
AntiAV : désactive ou reconfigure les logiciels de sécurité en place sur la machine infectée, de façon à diminuer son niveau de sécurité et à la rendre vulnérable aux autres menaces.
Persistance des logiciels malveillants
Même si l'utilisateur découvre et supprime certains de ces malwares, le module "Updater", exécuté au démarrage du système, les réintroduit. Bien entendu, à l'occasion de la publication de cette étude, les chercheurs d'ASEC mettent en garde les utilisateurs contre les risques de téléchargement de logiciels depuis des sources non officielles et illégales, dans le but d'obtenir des logiciels piratés. Autant que possible, pensez également à vérifier l'intégrité de vos images ISO et autres sources.
Microsoft Office étant un exemple parmi tant d'autres... En effet, des campagnes similaires ont été utilisées pour propager le ransomware STOP.
Un nouveau coup de filet majeur contre les cybercriminels : les autorités internationales sont parvenues à démanteler des infrastructures associées à plusieurs logiciels malveillants. Nom de l'opération ENDGAME. Voici ce que l'on sait.
Le 30 mai 2024, une vaste opération de démantèlement de plusieurs infrastructures cybercriminelles a été menée avec succès dans le cadre d’une coopération judiciaire internationale baptisée "ENDGAME". Il s'agit d'une opération indépendante de l'opération Cronos menée contre le gang LockBit : preuve que les autorités travaillent ardemment pour lutter contre la cybercriminalité.
Cette opération coordonnée a été menée par des autorités de plusieurs pays, notamment la France, l'Allemagne, les Pays-Bas, le Danemark, le Royaume-Uni et les États-Unis. La coordination globale a été assurée par Europol, qui a d'ailleurs publié un rapport à ce sujet.
En France, cette initiative a été menée par la section J3 de lutte contre la Cybercriminalité du Parquet de Paris en collaboration avec l’Office anti-cybercriminalité (OFAC). Par ailleurs, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a contribué à l'opération ENDGAME en participant à l’identification et à la notification des victimes.
L'opération visait spécifiquement à neutraliser des serveurs rattachés aux infrastructures utilisées par les cybercriminels. Résultat, les forces de l'ordre sont parvenues à saisir une centaine de serveurs et plus de 2 000 noms de domaines ! Les serveurs en question sont répartis dans différents pays : Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine.
"Les opérations menées par les forces de l’ordre se sont déployées sur plusieurs pays et ont mené à l’interpellation de 4 personnes dont 3 par les autorités françaises, à 16 perquisitions.", peut-on lire dans un post LinkedIn publié par le Parquet de Paris.
L'objectif était de cibler les infrastructures utilisées dans le fonctionnement de différents loaders : BumbleBee, IcedID, Smokeloader, Pikabot, Trickbot et SystemBCt. Ces logiciels malveillants sont généralement distribués via des campagnes de phishing. Une fois qu'une machine est infectée, ce code malveillant est utilisé pour télécharger et déployer d'autres malwares, dont des ransomwares.
Le Parquet de Paris précise que "L’administrateur du botnet Pikabot a été interpellé en Ukraine avec le concours des autorités ukrainiennes, l’un des acteurs principaux du dropper « Bumblebee » a été auditionné en Arménie."
La cybersécurité est un enjeu crucial pour les petites et moyennes entreprises (TPE/PME). Comment sécuriser son réseau ? C'est la question que se posent les dirigeants d'entreprises. Nous allons voir comment répondre à cette question grâce à l'utilisation des fonctionnalités de la solution TP-Link Omada.
Nous vous proposons un tour d'horizon des fonctionnalités de sécurité offertes par la solution TP-Link Omada, autour de 3 grands axes, en commençant aujourd'hui par le premier :
La sécurité du réseau : détectez et bloquez les menaces
L'authentification réseau et la sécurité du Wi-Fi
La gestion d'un portail captif et la centralisation des logs
Ceci nous permettra d'évoquer un ensemble de fonctionnalités techniques à configurer pour renforcer la sécurité d'un réseau. Ces mesures viennent s'ajouter aux autres recommandations telles que la sensibilisation des utilisateurs, les sauvegardes régulières, l'application des mises à jour, utiliser des mots de passe robustes, etc.
Pour rappel, la solution TP-Link Omada est entièrement gratuite : 0 licence pour le contrôleur en lui-même, 0 licence pour les périphériques réseau et 0 licence pour les mises à jour logicielles. Autrement dit, il vous suffit d'acheter les appareils de la gamme TP-Link Omada : routeurs, switchs, points d'accès Wi-Fi, etc. Le contrôleur TP-Link Omada peut être un boitier physique ou une machine virtuelle que vous pouvez auto-héberger.
Pour approfondir ce point, consultez notre précédent article (inclus une vidéo) sur le sujet :
II. La sécurité du réseau : détectez et bloquez les menaces
En informatique, une menace désigne un danger potentiel en mesure de compromettre la sécurité de l'infrastructure d'une organisation. Ces menaces peuvent prendre différentes formes et être présentes aussi bien en interne qu'en externe. Ceci conduit les entreprises à sécuriser leur accès à Internet, mais également leur réseau local.
La base de la sécurité d'un réseau passe par l'implémentation de règles de filtrage afin de limiter et de contrôler les flux entrants et sortants. Aujourd'hui, face à la diversité des usages et la complexité des menaces, les organisations doivent effectuer du filtrage réseau et du filtrage applicatif pour garder la maitrise de leur réseau. Ces différentes règles, que l'on peut appeler "ACL", vont permettre de déterminer ce que peut faire ou ne pas faire un équipement connecté au réseau.
Quelle est la différence entre le filtrage réseau et le filtrage applicatif ? Le filtrage réseau se concentre sur les ports et les paquets IP, tandis que le filtrage applicatif intervient au niveau des applications et de leurs protocoles spécifiques. Autrement dit, nous ne travaillons pas sur la même couche du modèle OSI. Ceci fait référence à la fonction de pare-feu dont l'implémentation est recommandée par l'ANSSI dans plusieurs de ses guides, y compris dans celui intitulé "La cybersécurité pour les TPE/PME en 13 questions".
Le trafic du réseau ne doit pas seulement être filtré de façon statique. Ce n'est pas suffisant pour assurer la sécurité du réseau. Les flux en transit sur le réseau doivent être analysés pour détecter et bloquer les comportements suspects et malveillants. C'est pour cette raison que nous pouvons recourir à un système de détection d'intrusion (IDS) et un système de prévention d'intrusion (IPS). En effet, l'IDS va analyser les paquets de données à la recherche de schémas anormaux tandis que l'IPS va bloquer les attaques en temps réel.
A. Les fonctions de TP-Link Omada
Avec la solution TP-Link Omada, nous allons pouvoir déployer un ensemble de fonctionnalités pour sécuriser un réseau par le filtrage des flux ainsi que la détection et le blocage des menaces.
La Deep Packet Inspection (DPI) analyse en profondeur le contenu des paquets pour bloquer des applications et des services indésirables et/ou malveillants.
Le blocage par DNS Proxy permet de filtrer le trafic DNS malveillant par l'utilisation d'un DNS prévu à cet effet.
Le filtrage IP, MAC et URL permet de bloquer l’accès à des sites Web, adresses IP ou mots clés spécifiques.
La création d'ACL (Access Control List) pour restreindre l'accès aux ressources réseau, au niveau du routeur, des switchs et des bornes WiFi.
La restriction géographique (GeoIP) via les listes de contrôle d’accès (ACL) permet de limiter l’accès en fonction de la localisation géographique.
Le blocage des attaques par déni de service (DoS).
La protection contre l'ARP spoofing (ou empoisonnement de cache ARP).
Etc....
En combinant l'utilisation de ces fonctionnalités, les entreprises peuvent renforcer la sécurité de leur réseau, et ainsi mieux protéger leurs données.
B. Scénario de déploiement
Pour cette démonstration, nous allons mettre en œuvre une configuration dont l'objectif sera de :
Bloquer les flux entrants en provenance de la Russie et de la Chine, grâce au filtrage géographique.
Renforcer la sécurité de la navigation Internet grâce à l'utilisation d'un proxy DNS, ce dernier pouvant filtrer les contenus malveillants. Le DNS sécurisé "https://security.cloudflare-dns.com/dns-query" sera utilisé pour bloquer les malwares.
Bloquer les applications et les services relatifs au P2P, aux tunnels VPN, au partage de fichiers en ligne, et à la prise en main à distance.
Activer les mécanismes de protection contre les attaques DoS et l'ARP Spoofing.
Détecter et bloquer les flux malveillants (P2P, User-agents suspects, etc...) grâce à l'IDS/IPS.
C. La vidéo de mise en œuvre
Ci-dessous, la vidéo de mise en œuvre technique de cette configuration avec la solution TP-Link Omada.
L'interface intuitive de TP-Link Omada permet de configurer des fonctionnalités de sécurité simplement, aussi bien sur les réseaux filaires que Wi-Fi. En effet, la plateforme TP-Link Omada permet l'administration des routeurs, des switchs et des points d'accès, que ce soit pour un ou plusieurs sites, ainsi que un ou plusieurs clients lors de l'utilisation du mode MSP.
Visitez le site TP-Link Omada pour en savoir plus :
Sachez que des nouveautés sont attendues pour la version 5.15 qui sera disponible cet été :
Prise en charge du filtrage de contenu, y compris le filtrage DNS et le filtrage d'URL
Prise en charge de la base de données de signatures d'URL, mise à jour régulière
Prise en charge du filtrage DNS pour deux catégories (Travail et Domicile)
Prise en charge de la liste noire et de la liste blanche de filtrage de contenu
Fonctionnalités de SD-WAN
Rendez-vous prochainement pour la seconde partie de cette série intitulée "L'authentification réseau et la sécurité du Wi-Fi" ! En attendant, vous pouvez commenter cet article pour donner votre avis ou poser vos questions.
Le gang de ransomware Monti a frappé fort dans le Sud de la France en faisant 3 victimes d'un coup : l'aéroport de Pau-Pyrénées, l'école de commerce de Pau ainsi que le campus numérique de la ville. Faisons le point !
Dans la nuit du dimanche 12 au lundi 13 mai 2024, un groupe de pirates nommé Monti Ransomware a mené des cyberattaques à l'encontre de trois institutions de la ville de Pau. Les pirates sont parvenus à s'introduire sur l'infrastructure de l'aéroport de Pau-Pyrénées, l'école de commerce Eklore (ex-CNPC) et le campus numérique de la ville de Pau. Il s'agit de trois institutions liées à la Chambre de Commerce et d'Industrie (CCI) Pau Béarn.
Les journalistes de Sud-Ouest sont parvenus à obtenir des informations auprès de la CCI : « Les activités ne sont pas arrêtées mais simplement en mode dégradé. Il n’y a aucun souci sur les vols à l’aéroport. Idem à l’école de commerce, où les cours ont lieu mais sans une partie des outils numériques. », peut-on lire. Une plainte a été déposée.
Des données publiées sur le Dark Web
Sur son site accessible via le Dark Web, le gang de ransomware Monti a mis en ligne des données volées lors de cette cyberattaque. Il serait question de plusieurs milliers de documents, dont des documents administratifs, des factures, des bilans RH ainsi que des informations personnelles relatives aux salariés et aux étudiants. Des données précieuses pouvant être utilisées pour mener des campagnes de phishing ou tenter d'usurper l'identité des personnes concernées.
La divulgation des données par les pirates n'est pas une surprise : en France, les établissements publics ont pour consigne de ne pas payer la rançon demandée par les cybercriminels. Ceci est la bonne décision, mais généralement cela en résulte à la mise en ligne des données exfiltrées lors de l'attaque.
Le gang de ransomware Monti a été repéré pour la première fois en juin 2022. S'il porte un nom proche du ransomware Conti, ce n'est surement pas un hasard : le ransomware Monti partage certaines tactiques avec Conti, ce dernier ayant "fermé ses portes" en mai 2022. Ce qui a donné lieu à la naissance d'autres groupes de cybercriminels.
Grosse alerte de sécurité chez Check Point : un correctif de sécurité a été publié en urgence pour corriger une faille zero-day présente dans la fonction VPN des firewalls Check Point. Le problème : cette vulnérabilité est massivement exploitée par les pirates. Faisons le point.
En début de semaine, Check Point a mis en ligne un rapport pour évoquer une vague d'attaques visant ses firewalls. À ce moment-là, l'entreprise américaine évoquait une campagne basée sur l'utilisation de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.
Ces dernières heures, Check Point a fait une autre découverte à ce sujet : les pirates exploitent une faille de sécurité zero-day présente dans la fonction VPN pour compromettre les firewalls.
Désormais associée à la référence CVE-2024-24919, cette vulnérabilité est décrite de cette façon par Check Point : "La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet dont l'accès à distance VPN ou l'accès mobile est activé.", peut-on lire dans le bulletin de sécurité de l'éditeur. Elle est associée à un score CVSS v3.1 de 7.5 sur 10.
Une faille zero-day exploitée depuis le 30 avril
Cette faille de sécurité zero-day est exploitée depuis, au moins, le 30 avril 2024 : date à laquelle la société mnemonic a constaté des tentatives d'exploitation chez certains de ses clients.
D'ailleurs, le rapport mis en ligne par mnemonic apporte des précisions sur les risques associés à cette vulnérabilité qui "permet à un attaquant d'énumérer et d'extraire des hashs de mots de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory." - On comprend mieux l'attirance des cybercriminels pour cette faille de sécurité.
Check Point recommande d'ailleurs de renforcer la sécurité du compte permettant de lier l'appliance firewall à l'annuaire Active Directory. À juste titre, voici ce que l'on peut lire dans l'article de mnemonic : "Les mots de passe faibles peuvent être compromis, ce qui entraîne d'autres abus et des mouvements latéraux potentiels au sein du réseau."
Qui est affecté ? Comment se protéger ?
D'après le site de Check Point, les produits suivants sont affectés : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances. Pour que l'appliance soit vulnérable, il doit y avoir une ou plusieurs fonctions d'accès distance activée (Access VPN ou Mobile Access Software Blades).
Un hotfix a été publié pour diverses versions de système, y compris pour certaines versions en fin de vie.
Check Point a publiéun article de support pour guider ses clients dans l'installation du correctif de sécurité, dit "hotfix", permettant de se protéger de la CVE-2024-24919. Référez-vous à cette page pour accéder au téléchargement propre à votre version et lire les instructions de l'éditeur.
Dans cet article, nous allons découvrir et apprendre à maitriser Nuclei : un scanner web, open-source, rapide et puissant. Cet outil peut être utilisé dans de nombreux cas, notamment pour scanner un ou plusieurs sites web très rapidement et découvrir de potentielles vulnérabilités les affectant, et ce, de façon automatisée.
Nuclei propose de très nombreux points de test et de vérification. Par exemple, il vous permettra de facilement découvrir sur des sites web :
Des fichiers sensibles accessibles ;
Des signatures spécifiques à certaines technologies, voire la découverte de leur version exacte ;
Des CVE affectant une application ;
Des logins par défaut ;
Des défauts de configuration concernant l'application web, le service web, les en-têtes de sécurité ou les cookies ;
Des pages d'administration exposées ;
Réaliser des tâches de fuzzing ;
Certaines vulnérabilités du top 10 OWASP ;
Etc.
Et, je ne parle même pas de la prise en compte d'autres protocoles qui peuvent graviter autour de la réalisation d'une analyse de sécurité sur des applications web : DNS, SSH, SSL, mais aussi la réalisation de tâches d'OSINT ou d'analyse de fichiers, etc.
Ce projet open source présent sur le dépôt de ProjectDiscovery possède de nombreuses forces :
Rapidité : Nuclei est écrit en Go (Golang), un langage notamment optimisé pour le parallélisme et les opérations web/API. Il est capable d'effectuer un grand nombre d'opérations sur plusieurs centaines de sites en relativement peu de temps comparé à d'autres outils.
Développement communautaire : presque 5 000 commits en 4 ans existences, plus de 300 contributeurs venant de nombreux pays et plus de 8 000 modules de test. La grande force de Nuclei est également sa communauté qui propose continuellement de nouveaux modules de test pour suivre l'actualité des attaques et des vulnérabilités.
Simplicité de prise en main et de personnalisation : vous le verrez à la fin de cet article, la prise en main de Nuclei est aisé, un peu de pratique sera nécessaire pour une utilisation avancée, mais rien d'insurmontable, il suffit de savoir lire la manpage. Également, les choix techniques faits par les développeurs rendent l'outil personnalisable très facilement grâce au format YAML.
Dans les faits, j'utilise très fréquemment de Nuclei pour automatiser toute sorte de vérification, que ce soit sur une application web précise ou sur plusieurs centaines de sites. Ainsi, les cas d'usage les plus fréquents de Nuclei sont :
Effectuer une analyse globale d'une surface d'attaque composée de nombreuses applications web ;
Réaliser un check-up régulier de la sécurité des applications web de son entreprise ;
Automatiser la vérification de certains points lors test d'intrusion ou d'une recherche Bug Bounty ;
Vérifier rapidement sur un grand nombre de sites la présence d'une nouvelle vulnérabilité publiée ;
Etc.
Attention, bien que Nuclei ne soit pas fait pour exploiter des vulnérabilités, il enverra des requêtes qui s'apparenteront quoi qu'il arrive à une cyberattaque. Ainsi, assurez-vous de disposer d'une autorisation explicite des propriétaires des applications web visées (test d'intrusion, analyse interne à l'entreprise ou Bug Bounty). Pour rappel : Code pénal : Chapitre III : Des atteintes aux systèmes de traitement automatisé de données
II. Installation de Nuclei
Nous allons à présent installer Nuclei, j'utilise pour cela un OS Linux (Kali Linux), mais cela devrait fonctionner sur n'importe que Système Linux. L'outil étant écrit en Go, votre système doit disposer de quoi exécuter les programmes écrit en Go, vous pourrez vérifier que c'est le cas via la commande suivante :
$ go version
go version go1.21.6 linux/amd64
Si vous n'avez pas une version en réponse, c'est que Go n'est pas présent sur votre système. Je vous oriente vers la documentation officielle, très claire, pour l'installer :
Pour que Nuclei puisse être utilisé depuis n'importe quel dossier de votre système, n'oubliez pas d'ajouter le répertoire dans lequel seront stockés les binaires Go dans votre variable "PATH" et d'intégrer cette modification à votre ".bashrc" :
export PATH=$PATH:/usr/local/go/bin
Une fois cela fait, nous pouvons installer Nuclei avec la commande suivante :
go install -v github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
Pour vérifier qu'il s'est bien installé, vous pouvez utiliser la commande suivante :
nuclei --version
Si tout s'est bien passé, voici le résultat attendu :
Récupération de la version Nuclei installée.
L'outil étant très souvent mis à jour, cette commande vous permettra également de mettre à jour Nuclei. Pour finir, il faut nous assurer que notre base de templates, nom des modules de test de Nuclei, est à jour. Nous pouvons pour cela utiliser la commande suivante (-ut" pour "--update-templates") :
nuclei -ut
Voici une sortie possible :
Mise à jour des templates Nuclei.
Voilà, notre base est à jour. Pensez à mettre souvent à jour votre base de template, car de nouveaux sont très souvent disponibles.
II. Maitriser Nuclei pour scanner des sites web
A. Utilisation basique de Nuclei
À présent, nous allons commencer à utiliser Nuclei dans des cas basiques, afin de se faire la main. Pour commencer, nous pouvons lancer Nuclei en mode "par défaut", sans trop lui spécifier d'option. Nous devons au moins lui spécifier l'application web à scanner :
Utilisation basique de Nuclei sur une application web.
Comme vous pouvez le voir, nous obtenons quelques informations à propos du contexte de lancement du test. Nous voyons notamment si Nuclei et notre base de template sont à jour, mais aussi le nombre de templates qui seront utilisés ici : 7921.
En sachant qu'un template peut lui-même exécuter plusieurs requêtes, cela donne une idée du nombre de requêtes et de tests que Nuclei va faire.
Vu l'application web testée ici, je ne suis pas près de trouver des vulnérabilités là-dessus avec Nuclei. Mais c'est pour l'exemple :). Vous noterez tout de même que Nuclei me renvoie quelques alertes de type "[info]", qui correspondent à des points de vérifications standard (certificat, CDN utilisé, technologies, etc.).
Pour connaitre le nombre exact de requêtes qui seront envoyées, et en plus avoir un état d'avancement du test, je vous conseille de systématiquement utilisé l'option "--stats" :
nuclei -u https://monapplication.tld --stats
Voici ce que cette option va changer :
Utilisation de l'option "-stats" de Nuclei.
Vous aurez un suivi, toutes les 5 secondes, du nombre de tests fait et à faire, le nombre d'hôtes qui ont été scannés parmi ceux fournis en entrée, le nombre de template pour lesquels il y a eu un résultat (4 dans mon exemple) et le nombre d'erreurs. Ce dernier nombre sera forcément élevé puisque la plupart des tests n'aboutiront pas, la cible ne pouvant de toute façon pas être vulnérables à tout d'un seul coup :-).
Pour aller plus loin, nous pouvons aussi scanner non pas une application web, mais un nom de domaine, observons la différence :
Utilisation de Nuclei sur un nom de domaine.
Comme vous pouvez le voir, Nuclei va utiliser "httpx" sur le nom de domaine fournit. Cet outil tiers va permettre de déterminer quels sont les services web accessibles sur le nom de domaine en allant vérifier sur les ports classiques pour ce service : TCP/80, TCP/81, TCP/443, TCP/8080, etc. Cela permet de faire une analyse un peu plus large, et de scanner aussi bien le service TCP/443 que les TCP/8080 si les deux sont présents pour un même domaine.
Enfin, dans un contexte plus réaliste, nous pouvons scanner plusieurs applications web, domaine ou adresse IP. Il suffit pour cela de créer un fichier texte avec une cible par ligne et d'indiquer ce fichier à Nuclei :
nuclei --list mesCibles.txt --stats
Voilà pour l'utilisation vraiment basique de Nuclei. Peut-être avez-vous déjà eu des premiers résultats ici, mais je vous conseille de continuer la lecture de l'article, car nous allons apprendre à manier l'outil de façon beaucoup plus efficace et intéressante.
B. Découverte et usage des templates
Comme indiqué dans l'introduction, la puissance de Nuclei réside dans ses nombreux templates et son approche modulaire. Les templates de Nuclei décrivent chacun un test bien précis et ceux-ci sont organisés en catégories et en tags, ce qui permet de facilement les utiliser en fonction de nos besoins. Voici notamment un aperçu des tags les plus présents :
Extrait du tableau présentant les principaux tags, auteurs et catégories des templatesNuclei.
Vous trouverez sur la page suivante la totalité des tags pouvant être utilisés dans les options d'exécution de Nuclei :
Par défaut, vos templates Nuclei sont normalement stockés dans le répertoire "~/.local/nuclei-templates/". Vous pourrez également les parcourir dans ce répertoire local.
Commençons, pour se faire une idée, par afficher tous les templates disponibles grâce à l'option "-tl" :
Option permettant de lister tous les templates Nuclei.
Comme vous pouvez le voir, il y a du monde ! Pas loin de 8 000 templates sont disponibles en date d'écriture de cet article. La capture ci-dessus est bien sûr tronquée. On peut notamment retrouver un début de hiérarchie dans la capture ci-dessus (cloud, code, exposures, etc.). Pour avoir une meilleure idée, voici à quoi ressemble un templateNuclei :
Ce template, qui se trouve dans le répertoire "http/exposed-panels/" et utilise les tags "panel" et "phpmyadmin" (ligne 17) a pour but de découvrir la présence d'une page d'authentification ou d'un panel "PHPMyAdmin" sur nos cibles.
Nous pouvons notamment voir les payloads qui seront utilisés sur chaque cible, il y en a ici 12. Ce qui signifie que ce test à lui seul générera 12 requêtes par cible. En exécutant ce test, Nuclei essaiera de charger la page "{{baseURL}}/phpmyadmin/" puis "{{baseURL}}/admin/phpmyadmin/", etc. Le "{{BaseURL}}" étant bien sûr remplacé à la volée par l'URL des applications ciblée par nos tests.
Pour chaque réponse, il consultera le code source de la page afin de trouver les chaines de caractères "phpMyAdmin" ou "pmahomme" et lèvera une alerte de niveau "[info]" s'il obtient une réponse positive.
Pour exécuter une analyse se basant sur ce template uniquement, nous pouvons utiliser la commande suivante :
Ici, Nuclei va automatiquement aller cherche le fichier ".yaml" au sein du répertoire par défaut de stockage des templates. Si nous souhaitons utiliser un ensemble de template en fonction de leur catégorie, nous pouvons utiliser la commande suivante :
# Templates relatifs à la découverte de panels d'administration
nuclei -t http/exposed-panels/* -list mesCibles.txt -stats
# Templates relatifs à la découverte de technologies et version
nuclei -t http/technologies/* -list mesCibles.txt -stats
Nous pouvons également nous aider des tags, qui permettent de sélectionner des templates dans plusieurs catégories. Par exemple, si nous avons un CMS "Joomla" à scanner, nous pourrions souhaiter découvrir ses plugins, sa version, puis la présence de CVE ou défauts de configuration spécifiques à "Joomla". Chacun de ces tests se trouve dans une catégorie Nuclei différente, mais tous partagent le même tag : "joomla". Exemple :
# Lister les tous les templates ayant un tags "joomla"
nuclei -tl --tags joomla
# Exécuter tous les templates ayant un tags "joomla"
nuclei --tags joomla -list mesCibles.txt -stats
L'utilisation unitaire d'un template, groupée via les tags ou via les catégories, est ce qui rend Nuclei très pratique d'utilisation et modulable en fonction des besoins et des cibles à scanner. Le grand nombre de templates et de modules nécessite quelque temps de pratique avant de pouvoir exploiter complètement la puissance de Nuclei, mais cela vaut vraiment le coup.
Nuclei est un outil très modulable et propose, en plus de ses nombreux templates, de nombreuses options. Prenez le temps de lire l'aide de l'outil pour avoir un aperçu de tout ce qu'il est capable de faire : "nuclei --help"
Également, plutôt que de réaliser une analyse soit trop précise, soit trop vague entrainant un grand nombre de requêtes inutiles. Nous pouvons utiliser le mode "intelligent" de Nuclei qui va utiliser l'application wappalyzer afin de réaliser une première découverte des technologies utilisées, puis un scan en utilisant les tags associés à ces technologies. Cette opération se fait via le tag "-as" (pour "-automatic-scan") :
# Analyse intelligente basée sur le détecteur de technologie wappalyzer
nuclei -as -list mesCibles.txt -stats
Avec ces quelques options, vous maitriserez mieux les différents concepts et la puissance de Nuclei. Pour vous faciliter l'utilisation des tags, je vous propose ce tableau qui détaille, pour les principaux tags, leur cas d'usage :
Tag
Usage
--tags cve, --tags cve2023, --tags cve2022
Templates relatifs à la détection de CVE. Utilisable aussi par année.
--tags panel
Templates permettant de découvrir des panels d'administration spécifiques à certaines technologies.
--tags wordpress, --tags wp-plugin, --tags joomla, etc.
Templates relatifs aux CMS, ou à la découverte de plugins des CMS.
--tags exposures
Templates permettant de rechercher des fuites de données dans des fichiers exposés (backups, configurations, etc.)
--tags osint
Templates relatifs à la recherche d'informations par sources ouvertes.
--tags tech
Templates de recherche de bannières des technologies utilisées et de leurs versions.
--tags misconfig
Templates permettant de rechercher des défauts de configuration classiques et connus dans les services web, les CMS, etc.
IV. Concevoir son propre template
A. Comprendre la structure d'un template
Nous allons à présent étudier un peu plus précisément les différents composants d'un template afin d'avoir les connaissances nécessaires pour construire notre premier template.
Vous l'autre peut être remarqué en manipulant Nuclei ou en lisant cet article, les templates Nuclei sont écrits en YAML et visent à décrire précisément comment les requêtes seront envoyées et leurs réponses analysées. On retrouve d'ailleurs l'utilisation du YAML dans les règles de détection SIGMA. Voici la structure globale d'un template :
Identifiant unique
C'est le nom du template, il sera utilisé notamment lors de l'affichage d'une alerte :
id: mon-premier-template
Les informations de métadonnées
Les "info" sont les données annexes d'un template, comme l'auteur, la description, mais aussi les tags, le niveau de criticité de l'alerte qui sera levée, etc. Elles sont importantes pour bien réutiliser, comprendre et évaluer les résultats de notre template par la suite.
info:
name: Mon premier template
author: it-connect
severity: medium
description: Je ne sais pas encore
reference: https://www.it-connect.fr
tags: generic
Le protocole cibléet la requête
Comme indiqué, bien que Nuclei s'oriente principalement autour du web (HTTP), il peut aussi faire quelques actions sur d'autres protocoles comme SSH, DNS, ou directement sur des fichiers. C'est aussi là que sera décrite la requête à envoyer, avec sa méthode (dans le cas de l'HTTP), les données POST, le chemin ciblé, le tout en utilisant des variables comme "{{BaseURL}}", comme vu plus haut.
Voici un exemple du module "tomcat-exposed-docs.yaml"
http:
- method: GET
path:
- '{{BaseURL}}/docs/'
Les matchers
Les matchers sont les éléments principaux du template, ils permettent d'analyser la réponse obtenue et d'y rechercher des éléments indiquant le succès de l'opération. Il s'agit en fait de différentes conditions pouvant s'appliquer sur les en-têtes de réponse, le corps de la réponse, son statut, sa taille, etc. Il est alors possible d'indiquer si toutes les conditions doivent être remplies pour déterminer un succès, ou seulement certaines d'entre elles. Ce sont notamment ces conditions qui assurent un minimum de faux positif.
Voici un exemple du template "tomcat-exposed-docs.yaml" :
matchers-condition: and
matchers:
- type: word
words:
- 'Apache Tomcat'
condition: and
- type: status
status:
- 200
Dans l'exemple ci-dessus, les conditions sont à la fois la présence de "Apache Tomcat" dans le corps de la réponse, et l'obtention d'un code HTTP 200 en retour.
Les extractors
Les extractors sont optionnels et sont déclenchés uniquement en cas de succès du test. Ils permettent de récupérer des informations supplémentaires comme une version grâce à une expression régulière.
Voici un exemple du module "tomcat-exposed-docs.yaml" :
Maintenant que nous connaissons la structure globale d'un template. Nous pouvons construire notre premier templates. Nous ferons simple pour débuter.
Supposons que nous avons découvert que l'administrateur système qui a été embauché pour l'été afin d'effectuer une sauvegarde de nos nombreuses applications web n'a pas été très rigoureux et a laissé certaines de ces archives "backup-lesysadmin.zip" à la racine des applications web. Notre entreprise possédant 340 serveurs web en DMZ avec plusieurs dizaines d'applications chacun, toutes dans des répertoires différents, il serait aussi rapide d'utiliser Nuclei pour aller identifier la présence de ce fichier sur toutes nos applications web.
Pour répondre à ce besoin, il faut commencer par définir les métadonnées de notre template :
id: recherche-zip-sysadmin
info:
name: Recherche archive ZIP du Sysadmin
author: it-connect
severity: medium
description: Recherche de l'archive ZIP créée par notre Sysadmin cet été
reference: https://www.it-connect.fr
tags: generic
Nous allons ensuite définir la requête à envoyer et les conditions à réunir pour déterminer le succès de l'opération. Ici, un code "200" et un en-tête "Content-Type" à "application/zip" :
http:
- method: GET
path:
- '{{BaseURL}}/backup-lesysadmin.zip'
matchers:
- type: word
part: header
words:
- 'application/zip'
condition: and
- type: status
status:
- 200
Notre premier template est prêt ! Pour l'utiliser, il suffit de spécifier le chemin vers le fichier à l'aide de l'option "-t", comme vu précédemment. Voici le résultat :
Utilisation d'un template précis avec Nuclei.
Nous avons bien un match sur l'une de nos applications web. L'alerte est, comme prévu, remonté en sévérité "Medium".
En cas de problème, notamment si Nuclei fait mine de ne pas avoir de template à utiliser, je vous conseille d'utiliser l'option "-v", les éventuelles erreurs de votre template seront alors affichées :
Affichage verbeux pour obtenir les erreurs de syntaxe d'un template.
Si vous souhaitez développer d'autres templates pour effectuer des tâches différentes ou plus complexes, je vous conseille de partir d'un template existant qui fait à peu près la même opération. Qu'il s'agisse de l'envoi de données en POST, la récupération d'informations dans les en-têtes ou le corps de la requête, etc. Vous aurez ainsi une base concrète sur laquelle démarrer.
V. Quelques options pour maitriser la bête
Je vous propose différentes options pour maitriser un peu plus la puissance de Nuclei. Il s'agit des options dont je me sers le plus au quotidien et qui sont, selon moi, utiles à connaitre pour une utilisation plus régulière de l'outil :
Générer un fichier de sortie
Pour stocker, archiver, comparer ou même traiter les données produites par Nuclei, il peut être utile d'écrire ses résultats dans un fichier. Nuclei propose notamment le format de sortie JSON, un format standard pouvant être facilement réutilisé par d'autres outils ou langage de programmation :
# Sortie texte standard
nuclei -list mesCibles.txt -o nuclei_output.txt
# Sortie au format JSON
nuclei -list mesCibles.txt -j -o nuclei_output.json
Gérer le nombre de requêtes sur une période
Vous constaterez surement rapidement que Nuclei et un outil très rapide, il peut arriver que les services web ou équipements intermédiaires aient du mal à encaisser la charge ou bannisse votre adresse IP si elle émet trop de requêtes sur une courte période. Pour cela, Nuclei intègre une option permettant de gérer le nombre de requêtes par seconde :
# Limiter l'exécution à 50 requêtes/seconde (valeur par défaut : 150)
nuclei -list mesCibles.txt -rl 50
Sélectionner/exclure les template exécutés par criticité
La sortie produite par Nuclei peut vite être très verbeuse en fonction du type, de la maturité et du nombre de cibles. Ainsi, de nombreuses options permettent de mieux contrôler les tests qui seront effectués et notamment d'en inclure ou omettre en fonction de la criticité de chaque template, établie sur 6 niveaux : unknown, info, low, medium, high, critical :
# Exécuter uniquement les templates à criticité medium, high et critical
nuclei -list mesCibles.txt -s medium,high,critical
# Exclure des tests les templates high et critical
nuclei -list mesCibles.txt -es high,critical
Optimiser la vitesse de tests
Il est aussi possible d'utiliser certaines options pour que la durée des tests soient optimisée. Par exemple, en raccourcissant le temps ou le nombre de requêtes à partir desquels Nuclei considère une page ou hôte en injoignable/timeout, ou le nombre de tentatives supplémentaires qu'il va faire après un premier échec :
# Réduire le nombre de seconde avant de requête en timeout (par défaut : 10
nuclei -list mesCibles.txt -timeout 2
# Réduire à 3 au lieu de 30 le bombre d'échec avant de considérer un hôte définitivement injoignable
nuclei -list mesCibles.txt -mhe 3
# Réduire à 1 au lieu de 3 le nombre de tentative de communication après un échec
nuclei -list mesCibles.txt -retries 1
Ces différentes options peuvent bien sûr être combinées entre elles pour plus d'efficacité.
VI. Conclusion
Dans cet article, nous avons fait le tour des principales options et cas d'usage de Nuclei. Cela devrait vous permettre de l'utiliser dans de bonnes conditions, bien qu'il regorge de fonctionnalités dont nous n'avons pas parlé grâce à ses nombreuses options et templates. J'espère notamment qu'utiliser cet outil vous aidera à trouver et à corriger des faiblesses sur vos applications web pour améliorer votre sécurité !
N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord !
Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.
Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.
Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.
Source : QiAnXin XLab
Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.
Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.
Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.
DNSBomb, c'est le nom d'une nouvelle technique d'attaque révélée récemment et associée à la vulnérabilité CVE-2024-33655. Cette technique repose sur l'utilisation du DNS pour effectuer des attaques DoS avec un facteur d'amplification de x20 000. Voici ce qu'il faut savoir.
Qualifiée d'attaque Pulsing Denial-of-Service (PDoS), cette technique d'attaque baptisée DNSBomb correspond à la vulnérabilité CVE-2024-33655. Elle a été découverte par des chercheurs de l'université de Tsinghua (Chine) et vise à manipuler le trafic DNS. En effet, sa mise en œuvre repose sur l'exploitation des requêtes et des réponses du système DNS.
"DNSBomb exploite plusieurs mécanismes DNS largement mis en œuvre pour accumuler les requêtes DNS envoyées à faible débit, amplifier les requêtes en réponses de grande taille et concentrer toutes les réponses DNS en une courte salve d'impulsions périodiques de grand volume afin de submerger simultanément les systèmes cibles.", peut-on lire sur le site dédié à cette technique. L'objectif étant d'accumuler les réponses DNS pour les libérer simultanément vers une cible : ce qui fait l'effet d'une bombe.
Voici un schéma pour illustrer l'attaque DNSBomb :
Cette technique pourrait être beaucoup plus efficace que les autres déjà connues. Les chercheurs de l'université de Tsinghua ont effectué différents tests qui permettent d'affirmer que le facteur d'amplification de la bande passante peut être multiplié par 20 000. "Des expériences à petite échelle montrent que l'amplitude maximale des impulsions peut approcher 8,7 Gb/s et que le facteur d'amplification de la bande passante peut être multiplié par 20 000.", peut-on lire. Largement suffisant pour faire tomber la cible et notamment des infrastructures critiques.
Quels sont les services vulnérables ?
Il y a deux types de services particulièrement vulnérables à l'attaque DNSBomb : les services DNS et les services CDN (réseau de diffusion de contenu). Nous pensons notamment à des services comme ceux de Cloudflare et Akamai. Voici les conclusions des chercheurs de l'université de Tsinghua suite aux différents tests effectués :
"Grâce à une évaluation approfondie de 10 logiciels DNS grand public, de 46 services DNS publics et d'environ 1,8 million de résolveurs DNS ouverts, nous démontrons que tous les résolveurs DNS peuvent être exploités pour mener des attaques DNSBomb plus pratiques et plus puissantes que les attaques DoS à impulsions précédentes."
Pour limiter ou réduire l'impact de DNSBomb sur un serveur DNS, il convient d'adapter sa configuration pour implémenter des limites, notamment le nombre de requêtes maximales par client. Si vous utilisez Bind9, vous pouvez consulter cet article mis en ligne pour vous guider.
Connexion
