Les entreprises doivent corriger sans attendre les clients VPN de Pulse Secure

le 26/04/2021, par Jon Gold / Network World (adaptation Jean Elyan), Sécurité, 530 mots

Des cyberpirates, dont certains seraient liés à la Chine, auraient exploité des vulnérabilités dans le logiciel VPN Pulse Connect Secure pour s'introduire dans les réseaux d'entreprise.

Les entreprises doivent corriger sans délai les vulnérabilités affectant le client VPN de Pulse Secure. Ces vulnérabilités sont actuellement exploitées, probablement par un « groupe d'espions soutenus par la Chine ». Le correctif - disponible ici - est considéré comme suffisamment important pour que la Cybersecurity and Infrastructure Security Agency (CISA) ait demandé aux agences fédérales de l'appliquer avant la date du 23 avril. Les directives de la CISA précisent que les agents fédéraux, utilisateurs des VPN Pulse Connect Secure, doivent vérifier si leurs appareils sont vulnérables avec l'utilitaire gratuit de l'éditeur. Si la vulnérabilité est découverte dans les logiciels Pulse Secure, les agents du gouvernement doivent immédiatement les isoler du réseau et rédiger un rapport complet.

Mis à part cet outil de détection de la vulnérabilité, Pulse Secure a livré, en guise de solution de contournement, un fichier de configuration XML de remplacement qui empêche les exploits de fonctionner quand ils sont installés sur les appareils concernés. « Les entreprises devraient examiner les preuves médico-légales disponibles pour déterminer si un attaquant a compromis les identifiants de leurs utilisateurs », a écrit Mandiant, la division de Services managés de détection et de réponse aux incidents du fournisseur américain de solutions de cybersécurité FireEye, dans un billet de blog. « Ivanti, société mère de Pulse Secure, recommande vivement de réinitialiser tous les mots de passe dans l'environnement et de revoir la configuration pour s'assurer qu'aucun compte de service ne peut être utilisé pour s'authentifier dans le processus d'exploitation de la vulnérabilité ».


Une troisième faille encore inconnue

Pulse Secure recommande d'utiliser son outil en ligne Pulse Connect Secure Integrity Assurance pour déterminer si le logiciel Pulse Connect Secure a été compromis. Selon Mandiant, les exploits connus forcent le système d'authentification VPN SSL à révéler des identifiants et à valider la connexion au moment de leur vérification. Plusieurs techniques d'exploitation ont été utilisées, mais les conséquences sont identiques : elles permettent aux pirates de compromettre les appareils VPN et d'exécuter du code d'attaque à distance. Dans un message posté dans un blog sur le sujet, Pulse Secure explique que ces vulnérabilités résultent en partie de trois problèmes connus et corrigés au cours des deux dernières années. Mais une faille plus récente, et inconnue jusqu'ici, peut permettre à un attaquant de contourner l'authentification à deux facteurs sur la passerelle Pulse Secure Connect et d'exécuter du code à distance. Il semble que plusieurs groupes ont exploité cette vulnérabilité pour cibler des réseaux industriels d'entreprises américaines du secteur de la défense. Selon Mandiant, douze familles distinctes de malwares sont impliquées dans l'exploitation des vulnérabilités des appareils VPN de Pulse Secure, et plusieurs acteurs exploiteraient actuellement ces vulnérabilités, dont un au moins semble lié au gouvernement chinois. Le groupe baptisé APT5 par les chercheurs, et désigné comme un « acteur de l'espionnage chinois » dans le message de blog, cible depuis plusieurs années et de manière constante des entreprises américaines de l'aérospatiale et de la défense, et il a attaqué des fournisseurs d'équipements de réseaux et de logiciels afin d'atteindre cet objectif.

Security Director Cloud vient piloter la solution Sase de Juniper

Le service Security Director Cloud déployé dans le cloud par Juniper Networks centralise en un point unique tous les services de gestion de la sécurité d'entreprise. Baptisé Security Director Cloud, le service...

le 06/05/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 589 mots

Cisco étend sa pile logicielle Catalyst pour sécuriser le retour au...

Le pack de technologies dévoilé par Cisco s'appuiera sur les principaux systèmes câblés et sans fil exista

le 05/05/2021, par Michael Cooney, IDG NS (adapté par Jean Elyan), 1069 mots

Comment contrer les attaques sur les réseaux Windows

Quelles sont les techniques préférées des cybepirates pour accéder aux réseaux Windows ? C'est ce qu'a voulu savoir Red Canary, le fournisseur de solutions d'opérations de sécurité en mode SaaS, dont le...

le 29/04/2021, par Susan Bradley, IDG NS (adaptation Jean Elyan), 1108 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...