Les attaquants parrainés par l’État chinois s’appuient fortement sur des vulnérabilités connues mais généralement non corrigées pour « établir un vaste réseau d’infrastructures compromises », prévient une agence de sécurité fédérale américaine.

Alors que les vulnérabilités jusque-là inconnues (zero-day) et les nouveaux exploits font généralement la une des journaux, un conseil conjoint de la Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain et le FBI avertissent que l’attaque de failles « connues du public » est devenue un pilier du cyber-espionnage chinois.

Liste des résultats

L’avis propose une liste des CVE de périphériques réseau les plus fréquemment exploités par les cyber-acteurs parrainés par l’État de la RPC depuis 2020.

Les failles des routeurs destinés aux petites entreprises, des VPN SSL et des périphériques de stockage en réseau (NAS) de Cisco, Fortinet, Netgear et QNAP figurent en bonne place sur la liste.

Certaines des principales attaques en jeu peuvent réaliser l’exécution de code à distance (RCE) contre des systèmes non corrigés tandis que d’autres atteignent leurs objectifs en réalisant un contournement d’authentification ou une élévation de privilèges.

Les attaquants soutenus par l’État chinois utilisent des codes d’exploitation accessibles au public contre les services de réseau privé virtuel (VPN) ou les applications publiques pour pirater les principales entreprises de télécommunications et les fournisseurs de services réseau, créant ainsi une plate-forme pour les attaques de suivi.

Les systèmes piratés « servent de points d’accès supplémentaires pour acheminer le trafic de commande et de contrôle (C2) et agissent comme des points intermédiaires pour mener des intrusions sur le réseau d’autres entités », selon l’avis de la CISA, qui s’appuie sur les précédents rapports de l’agence de renseignement américaine.

En construisant un réseau de systèmes compromis qui agissent comme une plate-forme pour les attaques de suivi, les APT chinois cachent ou obscurcissent la source des attaques, ce qui rend la détection et la réponse plus difficiles.

Les experts de l’industrie ont déclaré que le dernier avis de la CISA est conçu pour souligner l’importance d’une correction rapide.

Péril de patching lent

Andrew Kahl, PDG de BackBox, a commenté : « Le mois dernier, CISA a publié un conseil conjoint (PDF) qui recommandait de prioriser la correction des logiciels contenant des vulnérabilités connues.

« Ces deux avis à moins d’un mois d’intervalle indiquent que les acteurs de la menace ciblent de plus en plus les vulnérabilités connues, car ils comprennent que de nombreuses organisations tardent à mettre en œuvre les correctifs. »

Kahl a ajouté : « L’un des vecteurs les plus courants pour les attaquants est les vulnérabilités connues qui, autrement, auraient pu être corrigées. En réalité, 87 % des organisations ont fait l’expérience d’une tentative d’exploitation d’une vulnérabilité existante déjà connue.

Cachant à la vue

Terry Olaes, directeur de l’ingénierie commerciale chez Skybox, a déclaré que l’alerte de CISA indiquait la nécessité d’adapter les stratégies de correction des vulnérabilités d’entreprise afin de fournir une meilleure couverture pour les vulnérabilités moins graves mais activement exploitées.

Un triage rapide aiderait les organisations à se protéger contre les attaques d’un large éventail d’adversaires potentiels.

« Les cybercriminels ciblent de plus en plus les vulnérabilités connues qui se cachent à la vue de tous et les transforment en portes dérobées pour déployer des attaques complexes qui augmentent à un rythme record », a déclaré Olaes.

« Si les organisations ne s’appuient que sur des approches conventionnelles de gestion des vulnérabilités, elles ne peuvent commencer par corriger les vulnérabilités les plus graves qu’en se basant sur le Common Vulnerability Scoring System (CVSS). »

Olaes a conclu : « Les cybercriminels savent que c’est ainsi que de nombreuses entreprises gèrent leur cybersécurité, ils ont donc appris à tirer parti des vulnérabilités considérées comme moins critiques pour mener à bien leurs attaques. »