Comment les pirates trouvent-ils des failles inexploitées dans des logiciels en apparence robustes? Cette question nous entraîne au cœur d’une nouvelle affaire préoccupante impliquant des hackers d’origine chinoise et des fournisseurs de services Internet américains.
Les experts en cybersécurité de Black Lotus Lab, rattachés à la firme Lumen, ont récemment découvert que le groupe de hackers, connu sous le nom de Volt Typhoon, exploitait une vulnérabilité inconnue – une faille « zero-day » – dans le logiciel Versa Director de Versa Networks. Mais comment une telle vulnérabilité a-t-elle pu passer inaperçue?
Versa est une entreprise qui commercialise des logiciels pour gérer les configurations de réseau, utilisés par les fournisseurs de services Internet (FSI) et les fournisseurs de services gérés (FSG). Cela en fait une cible « critique et attrayante » pour les hackers, selon le rapport de Black Lotus Lab. Les chercheurs indiquent que Volt Typhoon, un groupe supposément affilié au gouvernement chinois, vise principalement les infrastructures critiques des États-Unis, avec l’objectif de causer des dommages réels en cas de conflit futur avec les États-Unis. Mais est-ce que cette stratégie de Volt Typhoon va vraiment s’arrêter là?
Lors d’une conversation téléphonique avec TechCrunch, Mike Horka, le chercheur en sécurité ayant enquêté sur cet incident, a expliqué que les hackers cherchaient à voler des identifiants et les utiliser pour cibler les clients en aval des victimes compromises. Les pirates utilisaient les serveurs Versa comme des « carrefours » pour se propager à d’autres réseaux connectés.
Les hackers étaient donc à la recherche de passerelles stratégiques pour accéder à un nombre encore plus grand de réseaux compromis.
Mais combien d’autres vulnérabilités inconnues existent encore parmi les logiciels utilisés par nos entreprises critiques? Selon Horka, il a pu identifier quatre victimes aux États-Unis, comprenant deux FSI, un FSG et un fournisseur IT; ainsi qu’une victime en dehors des États-Unis, un FSI en Inde. Pourtant, les noms exacts de ces victimes n’ont pas été révélés par les Black Lotus Labs. Pourquoi ce manque de transparence?
En réponse à cette découverte, le directeur marketing de Versa, Dan Maier, a déclaré à TechCrunch par email que l’entreprise avait corrigé la faille zero-day identifiée par Black Lotus Labs. « Versa a confirmé la vulnérabilité et émis un correctif d’urgence », affirme Maier. Mais est-ce que cette réponse est suffisante pour protéger les milliers d’entreprises qui utilisent les logiciels de Versa?
Par ailleurs, Maier a mentionné que Versa a été capable de confirmer la faille et observer les actions des hackers exploitant cette faille. Ce cas a été signalé à l’agence américaine CISA, qui a ajouté la vulnérabilité zero-day à sa liste des vulnérabilités exploitées connues. CISA avertit que ce type de vulnérabilité représente un risque significatif pour les infrastructures fédérales.
Face à une menace aussi insidieuse et sophistiquée, la question reste : quelles mesures devons-nous prendre pour prévenir de futures exploitations de ce genre?
Source : Techcrunch
