Le FBI a publié une enquête sur des attaques dans lesquelles des cybercriminels exploitent des failles de sécurité dans des logiciels VPN pour s’introduire dans des réseaux et finalement même s’y installer. Dans le cas concret, la faille analysée permettait d’accéder à une fonction de téléchargement de fichiers sans restriction, grâce à laquelle les pirates pouvaient télécharger un webshell pour d’autres activités avec les droits root.
L’exploitation des failles de sécurité des solutions VPN pour s’introduire dans les réseaux fait désormais partie du répertoire standard des cyber-gangs. Depuis plus d’un an, le front figure dans la liste des vulnérabilités les plus fréquemment exploitées par la CISA américaine, l’ACSC australienne, la NCSC britannique et le FBI.
Les experts du FBI ont pu retracer les attaques sur la faille actuellement étudiée jusqu’en mai 2021 au moins. Selon l’analyse détaillée, les pirates l’ont utilisée pour des attaques APT (Advanced Persistent Threat), c’est-à-dire pour s’infiltrer dans le réseau, s’y fixer, y rester actifs pendant longtemps sans être détectés et s’y déplacer. En règle générale, ces groupes lancent de telles infiltrations dans le réseau afin de récupérer des données sans autorisation ou d’extorquer une rançon en introduisant un ransomware.
Dans son avertissement, le FBI mentionne les logiciels VPN FatPipe WARP, MPVPN et IPVPN comme étant concernés. Les dernières versions 10.1.2r60p93 et 10.2.2r44p1 sont censées combler les failles de sécurité. Les utilisateurs de ces logiciels peuvent obtenir les versions mises à jour auprès du fabricant.
Sommaire
Solutions VPN industrielles présentant des vulnérabilités
Les chercheurs en sécurité de Claroty ont découvert des failles de sécurité dans les solutions VPN basées sur OpenVPN, principalement utilisées dans l’environnement industriel. Certaines de ces vulnérabilités sont critiques et permettent aux pirates d’introduire des codes malveillants.
Les failles se basent apparemment sur le fait que le service OpenVPN fonctionne localement dans le contexte SYSTEM. En revanche, l’interface utilisateur fonctionne avec des droits faibles et envoie ses commandes à ce service en texte clair et sans authentification. Les applications peuvent donc glisser des configurations manipulées de manière malveillante dans le service et exécuter n’importe quel code avec les droits du service, c’est-à-dire SYSTEM. C’est ce que décrit un message collectif du VDE-CERT concernant mbDIALUP (CVE-2021-33526). Cela pourrait se produire par exemple avec un lien JavaScript dans une page web sur lequel un utilisateur du logiciel cliquerait.
Une deuxième faille dans mbDIALUP permettait (CVE-2021-33527) d’envoyer des commandes au système d’exploitation. Les versions mbDIALUP 3.9R0.0 et suivantes colmatent les failles de sécurité.
Autres produits concernés
Siemens comble des failles de sécurité similaires avec une possible extension des droits dans SINEMA Remote Connect Client avec la version V3.0 SP1 et plus récente (CVE-2020-14498). Les utilisateurs de la solution HMS eCatcher VPN doivent mettre à jour leur version 6.5.5 ou plus récente pour corriger ces erreurs (CVE-2020-14498). Enfin, les chercheurs en sécurité de Claroty ont encore trouvé de telles failles dans le client PerFact OpenVPN (CVE-2021-27406).
Dans les environnements industriels également, les administrateurs doivent maintenir à jour les solutions logicielles utilisées afin d’éviter des attaques réussies sur l’infrastructure et des dommages matériels potentiellement plus importants. Les solutions VPN utilisées devraient être vérifiées au plus tard maintenant pour s’assurer qu’elles sont à jour et, le cas échéant, déployer rapidement les mises à jour de sécurité.