Les experts en sécurité tirent-ils la sonnette d’alarme juste à temps? La communauté en ligne est en émoi suite à l’annonce faite par des experts de la sécurité qui mettent en garde contre deux failles à haut risque dans un outil populaire d’accès à distance, exploitées par des pirates pour déployer le rançongiciel LockBit. Cette révélation survient quelques jours seulement après que les autorités ont annoncé avoir démantelé le célèbre gang de cybercriminels lié à la Russie.
Quelle est la nature exacte de ces vulnérabilités et comment sont-elles exploitées? Des chercheurs chez Huntress et Sophos ont observé des attaques LockBit exploitant des vulnérabilités dans ConnectWise ScreenConnect, un outil largement utilisé par les techniciens informatiques pour fournir un support technique à distance sur les systèmes des clients. Ces failles, sont-elles donc une porte ouverte pour les cybercriminels?
Les failles comprennent deux bugs. CVE-2024-1709 est une vulnérabilité de contournement d’authentification « ridiculement simple » à exploiter, activement exploitée depuis mardi. L’autre bug, CVE-2024-1708, est une vulnérabilité de traversal de chemin. Mais en quoi ces failles sont-elles critiques pour la sécurité des systèmes affectés?
Des failles non corrigées dans ConnectWise ScreenConnect ouvrent la porte au rançongiciel LockBit.
Y a-t-il des attaques LockBit suite à l’exploitation de ces vulnérabilités? Sophos confirme avoir observé « plusieurs attaques LockBit » après l’exploitation des vulnérabilités ConnectWise. Cela signifie-t-il que malgré les efforts d’application de la loi, certaines affiliations au LockBit sont toujours actives et menaçantes?
Quelle est l’étendue de l’impact des vulnérabilités de ScreenConnect sur l’exécution des attaques observées? Christopher Budd de Sophos X-Ops révèle que ScreenConnect était le début de la chaîne d’exécution observée. Est-ce que cela suggère que la version de ScreenConnect utilisée était vulnérable?
Max Rogers de Huntress explique également que des rançongiciels LockBit ont été déployés lors d’attaques exploitant la vulnérabilité de ScreenConnect. Ces attaques ont-elles touché une large gamme d’industries et quel est le niveau de menace pour les systèmes des clients?
Quels sont les résultats de l’opération CRS contre l’infrastructure de LockBit et en quelle mesure cela a-t-il affecté les capacités opérationnelles de LockBit et de ses affiliés? L’opération, surnommée “Operation Cronos”, a entraîné la prise de contrôle de l’infrastructure de ransomware LockBit. Cette mesure a-t-elle vraiment eu un impact significatif?
La connexion entre l’exploitation des failles de ConnectWise et les attaques LockBit peut-elle être directement attribuée au groupe principal de LockBit? Rogers mentionne que bien que l’on ne puisse pas attribuer directement ces attaques au groupe principal de LockBit, il est clair que LockBit a une grande portée. Qu’est-ce que cela révèle sur la complexité et la persistance de ces menaces malgré les interventions majeures des forces de l’ordre?
Source : Techcrunch
