Threat Landscape #46
Actualités de la semaine
Pare-feu
Plus de 2 000 pare-feux Palo Alto vulnérables compromis à travers le monde
Tout a commencé le 8 novembre dernier, lorsque Palo Alto a lancé un avertissement à travers le bulletin de sécurité « PAN-SA-2024-0015 », informant ses clients d'une faille potentielle d'exécution de code à distance affectant ses produits. Ils recommandaient alors de limiter les accès à leurs pare-feux de nouvelle génération. Après sa correction par Palo Alto, cette vulnérabilité a été désignée sous la référence CVE-2024-0012. En parallèle, le 18 novembre, une autre vulnérabilité, la CVE-2024-9474, était également rendue publique. Concernant la CVE-2024-0012, elle permet à des attaquants distants non authentifiés d'obtenir des privilèges d'administrateur sur l'interface de gestion. Cet accès pourrait permettre aux attaquants de réaliser des actions administratives, de modifier des configurations ou d'exploiter d'autres vulnérabilités telles que la CVE-2024-9474, qui permet l’élévation de privilèges et notamment l’exécution de commandes sur le pare-feu avec des privilèges root.
Selon Palo Alto, les produits affectés par les vulnérabilités CVE-2024-0012 et CVE-2024-9474 incluent les versions suivantes de PAN-OS :
Palo Alto a détecté une activité malveillante ciblant des interfaces web de gestion d'appareils le 18 novembre, provenant principalement d'adresses IP utilisées par des services VPN anonymes. Cela impliquait l'exécution de commandes interactives et le déploiement de web shells sur les pare-feux. À la suite de la publication de détails techniques par des chercheurs en cybersécurité tiers le jour suivant, une augmentation notable des activités a été observée par Palo Alto, indiquant la disponibilité publique d'un exploit reliant les CVE-2024-0012 et CVE-2024-9474. Une liste d'indicateurs de compromission liée à cette activité a été partagée sur le GitHub de l’entreprise de cybersécurité.
Palo Alto précise que des correctifs sont disponibles pour chacune des vulnérabilités et recommande de les appliquer au plus vite. Il est ajouté que ce type de risque peut être considérablement réduit si une sécurisation de l'accès à l'interface web de gestion est réalisée en limitant cet accès aux seules adresses IP internes de confiance.
L’œil d’Intrinsec :
La Shadowserver Foundation, en partenariat avec la Saudi NCA, aurait identifié près de 2 000 appareils Palo Alto Networks compromis par les vulnérabilités CVE-2024-0012 et CVE-2024-9474, dont 21 cas recensés en France.
De plus, à la suite de la diffusion publique d'un proof-of-concept (PoC) exploit par l’utilisateur Sachinart sur GitHub le 19 novembre, les chercheurs de Wiz ont aussi observé l’exploitation d’appareils PAN-OS virtuels dans des environnements cloud. Les acteurs malveillants auraient utilisé des versions plus ou moins modifiées de ce code pour déployer des web shells, des implants du malware Sliver, des mineurs de cryptomonnaies, et, dans certains cas, des charges associées à des tests du PoC.
Cette exploitation quasi instantanée de vulnérabilités dès leur divulgation publique et notamment à la suite de la publication d’un PoC montre encore une fois la forte réactivité des cybercriminels face aux événements du quotidien. De plus, un intérêt particulier est montré pour des produits critiques largement déployés à travers le monde comme PAN-OS, afin de pouvoir toucher un maximum de cibles. Par ailleurs, cela souligne les défis posés par la divulgation publique des PoC. Si cette divulgation favorise la sensibilisation et la résolution rapide des vulnérabilités, elle expose également les systèmes non corrigés à des menaces immédiates.
Face à cette menace, les deux vulnérabilités ont été ajoutées par la CISA à leur catalogue des vulnérabilités connues pour être exploitées. Selon les exigences du BOD 22-01, les agences fédérales américaines doivent corriger ces vulnérabilités d'ici le 9 décembre.Plus d’informations ici, ici, et là.
Système d’eau potable
Des vulnérabilités critiques dans les systèmes d’eau potable américains
Dans un rapport publié le 13 novembre, l’agence américaine pour la protection de l’environnement (Environmental Protection Agency – EPA) alerte sur le fait qu’une centaine de systèmes d’approvisionnement en eau potable aux États-Unis présenteraient des vulnérabilités « à haut risque » dans la technologie qu’ils utilisent pour desservir des millions d’habitants.
L’agence a ainsi évalué 1 062 systèmes d’approvisionnement en eau potable desservant plus de 193 millions de personnes. Parmi ceux-ci, 97 présentaient, au 8 octobre, des « failles critiques ou à haut risque en matière de cybersécurité ». L’organisme ajoute que ces systèmes desservent 26,6 millions de personnes.
Ces failles, identifiées par l’organisme de surveillance, permettraient à un acteur malveillant de « dégrader les fonctionnalités afin de provoquer une perte ou un déni de service, ou faciliter le vol d’informations clients ou propriétaires » selon l’inspecteur général Sean O’Donnell et Ted Stanich qui ont rédigé le rapport. Ces derniers ajoutent d’ailleurs qu’ils ont identifié « 211 autres systèmes d’approvisionnement en eau potable, desservant plus de 82,7 millions de personnes, comme présentant un risque moyen ou faible en raison de la présence de portails ouverts visibles de l’extérieur ».
Les rédacteurs du rapport insistent d’ailleurs sur l’impact économique qui pourrait survenir en cas de cyberattaque. Ils citent notamment un rapport publié en 2023 par US Water Alliance qui évoque qu’une interruption d’une journée du service de l’eau aux États-Unis pourrait compromettre 43,5 milliards de dollars d’activité économique.
Sean O’Donnell et Ted Stanich évoquent d’ailleurs deux exemples prospectifs en cas d’incident cyber majeur. D’abord, le cas de Charlotte Water, qui dessert près de 900 000 personnes dans 6 États. Ainsi, en cas d’attaque cyber, les dommages engendrés pourraient coûter « au moins 132 millions de dollars en perte de revenus par jour ». Un autre exemple, utilisé par les rédacteurs, est celui du California State Water Project qui dessert plus de 27 millions de personnes, soit plus des deux tiers de la population californienne. Dans ce cas-là, les dommages seraient décuplés selon les rédacteurs, ces derniers estimant qu’une « interruption du service de l’eau à l’échelle de l’État pourrait coûter au moins 61 milliards de dollars en perte de revenus par jour ».
Enfin, lors de leur enquête, les rédacteurs du rapport ont identifié une situation étonnement problématique. En effet, ces derniers cherchant à notifier leur agence des vulnérabilités identifiées n’ont pu que constater que cette dernière ne disposait pas de son propre système de signalement des incidents de cybersécurité, s’appuyant uniquement sur la CISA (l’agence américaine de cybersécurité). Néanmoins, les investigateurs ont également découvert qu’il n’existait aucune procédure, documentation, procédures de mitigation entre l’EPA et la CISA, rendant impossible toute correction de ces vulnérabilités.
En réaction à ces difficultés, l’agence américaine pour la protection de l’environnement travaille à la mise en place d’un groupe de travail sur la cybersécurité dans le secteur de l’eau, qui pourrait identifier des stratégies visant à réduire le risque de cyberattaques contre les systèmes d’approvisionnement en eau.
L’œil d’Intrinsec :
Si les incidents cyber contre le secteur de l’eau sont déjà bien identifiés depuis de nombreuses années, force est de constater que les attaques à leur encontre ne cessent de s’intensifier chaque année. En effet, en 2024, au moins une quinzaine d’entités opérant dans le secteur de l’eau ont été victime d’une attaque par ransomware dont American Water Works, qui fournit de l’eau à des millions d’Américains dans 14 États et 18 installations militaires.
Par ailleurs, outre les acteurs criminels, le secteur de l’eau a également été pris pour cible par des acteurs liés à des États, notamment iraniens, comme documentés par les autorités américaines.Face à ces menaces plus intenses et nombreuses, les autorités américaines semblent avoir pris la mesure du défi, la CISA, le FBI et l’EPA publiant notamment un guide de réponse aux incidents destiné au secteur des systèmes de distribution d’eau et de traitement des eaux usées.
En France, la menace est également prise très au sérieux puisque l’ANSSI vient également de dévoiler un rapport détaillant les menaces pesant sur le secteur de l’eau.
Cette newsletter est émise par notre cellule de Threat Intelligence : le service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.