Atténuer les attaques des États-nations sur les services cloud

Atténuer les attaques des États-nations sur les services cloud

Un adversaire de nation-état a récemment été détecté exploitant des vulnérabilités dans l’Appliance de Service Cloud Ivanti (CSA) pour mener des activités malveillantes, comme révélé par les Laboratoires FortiGuard de Fortinet. Les attaquants ont exploité des failles zero-day pour obtenir un accès non autorisé au CSA, identifier les utilisateurs du système et tenter d’acquérir des informations d’identification utilisateur.

Au lieu de citer directement les chercheurs en sécurité, il est évident que les adversaires avancés ont stratégiquement utilisé ces vulnérabilités pour établir un accès initial au réseau de la victime.

Les vulnérabilités identifiées incluent une faille d’injection de commande (CVE-2024-8190), une vulnérabilité de traversée de chemin (CVE-2024-8963) et un problème d’injection de commande authentifié (CVE-2024-9380). Ces failles ont été exploitées par les acteurs de la menace pour exécuter des commandes et prendre le contrôle du système, menant finalement au déploiement d’un shell web.

De plus, les attaquants ont exploité une vulnérabilité d’injection SQL affectant Ivanti Endpoint Manager après avoir infiltré le CSA. Cela leur a permis d’activer des capacités d’exécution de code à distance, soulignant l’importance du patchage rapide et de la vigilance.

Pour lutter contre de telles menaces cybernétiques sophistiquées, les organisations doivent donner la priorité aux mesures de sécurité, réaliser des évaluations régulières des vulnérabilités et appliquer rapidement les correctifs pour protéger les services cloud critiques des potentielles intrusions. Se tenir informé des tactiques d’attaque en évolution et renforcer les défenses est impératif pour contrer les incursions de nations-états dans les environnements cloud.

Section FAQ :

1. Quelles vulnérabilités ont été exploitées par l’adversaire de nation-état dans l’Appliance de Service Cloud Ivanti (CSA) ?
L’adversaire de nation-état a exploité plusieurs vulnérabilités dans Ivanti CSA, dont une faille d’injection de commande (CVE-2024-8190), une vulnérabilité de traversée de chemin (CVE-2024-8963) et un problème d’injection de commande authentifié (CVE-2024-9380).

2. Comment les attaquants ont-ils obtenu un accès non autorisé au CSA ?
Les attaquants ont exploité des failles zero-day pour obtenir un accès non autorisé au CSA, identifier les utilisateurs du système et tenter d’acquérir des informations d’identification utilisateur.

3. Quelles actions les attaquants ont-ils entreprises après avoir exploité les vulnérabilités ?
Après avoir exploité les vulnérabilités, les acteurs de la menace ont exécuté des commandes, pris le contrôle du système et déployé un shell web. Ils ont également exploité une vulnérabilité d’injection SQL dans Ivanti Endpoint Manager pour activer des capacités d’exécution de code à distance.

4. Quelles mesures les organisations peuvent-elles prendre pour protéger leurs services cloud contre des attaques similaires ?
Pour lutter contre de telles menaces, les organisations doivent donner la priorité aux mesures de sécurité, réaliser des évaluations régulières des vulnérabilités et appliquer rapidement les correctifs. Il est crucial de se tenir informé des tactiques d’attaque en évolution et de renforcer les défenses pour empêcher les incursions de nations-états dans les environnements cloud.

Définitions :
Injection de Commande : Un type de vulnérabilité où un attaquant peut exécuter des commandes arbitraires sur un système.
Traversée de Chemin : Une vulnérabilité qui permet à un attaquant d’accéder à des fichiers et répertoires en dehors du répertoire racine du site Web.
Injection SQL : Un type d’attaque qui exploite des vulnérabilités dans les bases de données SQL pour exécuter des requêtes SQL malveillantes.

Liens Suggérés :
Laboratoires FortiGuard – Pour plus d’informations sur les menaces et recherches en cybersécurité.

Samuel Takáč