Plus d’une semaine après la découverte de la faille dans la librairie de chiffrement SSL/TLS OpenSSL, baptisée Heartbleed, les annonces d’attaques utilisant ce bug se multiplient. Dernier épisode en date, les chercheurs de Mandiant, filiale de FireEye, ont découvert une attaque visant les VPN (Virtual Private Network) d’entreprises, avec comme objectif le vol de données.
Christopher Glyer, directeur technique de Mandiant et Chris DiGiamo, consultant senior ont expliqué, dans un post sur un blog, les détails de l’opération : « l’attaquant a envoyé à plusieurs reprises des requêtes Heartbeat (le protocole à l’origine de la faille Heartbeet, NDLR) corrompues au serveur web HTTPS depuis un terminal avec VPN actif. Cette attaque a été compilée avec une version vulnérable d’OpenSSL pour obtenir les identifiants (token) de sessions actives des utilisateurs ». Les deux spécialistes indiquent qu’ « avec ces token, l’attaquant a réussi à détourner plusieurs sessions actives et a forcé le concentrateur VPN à valider son authentification ». Ils ajoutent qu’ « une fois connecté au VPN, le cybercriminel a tenté de pirater des comptes d’autres personnes et d’élever ses privilèges au sein du réseau de l’entreprise ». Autre particularité de cette opération, le système de double-authentification intégré au logiciel de VPN a été contourné.
Mandiant s’est refusé à nommer l’entreprise qui a été victime de cette attaque. Elle a été repérée le 8 avril soit un jour après la publication du papier sur la découverte de la faille Heartbleed. Comme pour les sites web, des précautions sont à prendre. Il faut ainsi commencer par vérifier si son VPN est vulnérable.
Christophe Glyer et Chris DiGiamo prêchent également pour leurs activités en recommandant d’utiliser une analyse de log et les rapports du système de détection d’intrusion pour constater les anomalies sur la fréquence des changements d’adresses IP pendant les sessions VPN. « Un changement d’adresse IP pendant une session est naturel, mais il devient suspect quand il intervient plusieurs fois dans un délai très court avec une alternance de blocs réseaux et de localisations géographiques différents depuis des opérateurs différents », précisent les deux experts. L’idée est à travers de ces incidents de créer des signatures sur les différentes attaques pour mieux les contrer. Enfin, les spécialistes poussent les responsables sécurité des entreprises à regarder attentivement les mises à jour des éditeurs de logiciels VPN en cours de développement et à déployer les correctifs en urgence.
En complément :
Heartbleed: VMware touché, Hyper V épargné
Heartbleed: McAfee met en ligne un outil de test dédié aux internautes
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…