« Si la sécurité informatique était un jeu, les hackers marqueraient des points. Le dernier round ? L’équipe américano-norvégienne contre les pirates du cybereeper ».
Des pirates ont profité de plusieurs mois d’iconscience en utilisant une faille inconnue dans le logiciel de gestion d’extrémités mobiles d’Ivanti, selon les agences de cybersécurité américaines et norvégiennes.
La semaine dernière, il a été confirmé que plusieurs agences gouvernementales norvégiennes ont été compromises. La petite faille en cause, une vulnérabilité inédite dans Ivanti Endpoint Manager Mobile (EPMM; anciennement MobileIron Core), a été exploitée. Ce logiciel est également utilisé par différents départements gouvernementaux américains et britanniques.
L’impact des cyberattaques sur les ministères norvégiens demeure inconnu, mais l’exploitation réussie de cette faille donne un accès non authentifié aux informations personnelles des utilisateurs et la possibilité de modifier le serveur vulnérable.
La CISA a averti que cette faille pourrait être exploitée pour créer un compte administrateur sur un serveur vulnérable, permettant de modifier davantage la configuration du serveur. Ivanti a sorti un patch pour chaque faille, corrigées respectivement le 23 juillet et le 28 juillet.
Des acteurs soutenus par des gouvernements non nommés ont joué les fantômes et se sont cachés derrière des routeurs petits bureau/mise à la maison (SOHO) compromis, comme les routeurs ASUS, comme des boucliers pour masquer la source de leurs attaques. Mais le vent tourne. CISA et NCSC-NO ont exhorté les agences à utiliser leur conseil pour rechercher dans leurs systèmes une éventuelle compromission et à signaler immédiatement tout problème.
Il a été constaté qu’un grand nombre de portails MobileIron sont encore exposés sur Internet, dont la majorité se trouve aux États-Unis. C’est une porte grande ouverte aux hackers, un véritable aimant à barges du clavier.
Fin du match ? Ivanti reste sur la défensive et Daniel Spicer, patron de la sécurité chez Ivanti, sauve les apparences en déclarant : « Ce que nous pouvons dire, c’est que les acteurs de la menace continuent de mûrir leurs tactiques, équilibrant une persévérance obstinée et de la patience avec une utilisation sophistiquée des exploits, des outils et des technologies émergentes ».
Heureusement, la grande majorité de ces hackers semblent être des « loupés du clavier » plutôt que des « Mozart du malware ». En effet, l’entreprise affirme que « nous n’avons connaissance que d’un nombre très limité de clients touchés », ce qui suggère que la liste des victimes va probablement au-delà du gouvernement norvégien. C’est la seule note d’espoir dans ce concerto en D mineur pour PC infectés.
En somme, on pourrait dire que les hackers ont réussi à créer un compte sur le serveur d’Ivanti, mais ont peut-être oublié d’ajouter des limes pour se sortir de cette situation épineuse !
Source : Techcrunch