Après Sopra Steria, Capgemini sous la menace d’une cyberattaque ?
Un cyberdélinquant prétend disposer d’un accès interne, avec exploitation possible d’une vulnérabilité critique, au système d’information d’une ESN qui a toutes les caractéristiques de Capgemini. Il en demande 1,5 bitcoin.
[Mise à jour 29/10/2020 @ 08:40] Capgemini assure, dans une déclaration transmise à la rédaction, ne pas avoir « à l’heure actuelle d’indication d’une activité malveillante dans nos systèmes. Notre équipe cybersécurité poursuit une surveillance active. Dans un contexte où les cyberattaques se multiplient, la sécurité des informations de nos clients et la protection des données sont au cœur de nos priorités et de nos investissements ».
De son côté, le moteur de recherche spécialisé Onyphe a bien trace de systèmes liés au domaine capgemini.com et affectés par la vulnérabilité shitrix au 24 avril dernier, et par la CVE-2020-3452 (Cisco) au 28 octobre.
Les données d’Hudson Rock se réfèrent à un compte qui aurait été compromis en février dernier. Alon Gal n’en est pas particulièrement surpris : « parfois, les attaquants prennent longtemps à mettre à profit leur entrée et effectivement infiltrer un réseau, parce que, même si disposer d’identifiants est utile, le processus n’est pas trivial et prend du temps ».
En outre, ajoute-t-il dans un échange avec la rédaction, « il est possible que l’attaquant ait l’accès depuis un moment, mais ne cherchait pas à le vendre, parce qu’il cherchait à le monétiser d’une autre manière ». Il ne se serait alors tourné vers le marché que faute d’avoir réussi de premières tentatives de monétisation.
[Article original] L’attaque du ransomware Ryuk ne suffisait pas. Le cercle des entreprises de services numériques françaises apparaît résolument sous pression. En ce mercredi 28 octobre 2020, un cyberdélinquant a mis en vente, pour 1,5 bitcoin, soit environ 25 000 $, ce qu’il présente comme un accès interne au système d’information d’une ESN employant 270 000 personnes à travers le monde.
Cerise sur le gâteau, le cybertruand en question affirme que ledit système d’information est affecté par une vulnérabilité permettant l’exécution de commandes arbitraires à distance, ou RCE [pour remote command execution]. Il propose de mettre à disposition le code d’exploitation de celle-ci, clés en main, pour 0,5 bitcoin de plus.
Alon Gal, directeur technique de Hudson Rock, aux commandes du compte Twitter @UnderTheBreach, qui a révélé la vente, n’a pas manqué d’établir un lien avec Capgemini, dont la description, sur Wikipedia, correspond à la description fournie pour le cyberdélinquant. Lequel n’est probablement pas allé bien plus loin pour caractériser sa victime. Selon nos informations, l’information a été notifiée à l’intéressée. Mais Hudson Rock va plus loin, affirmant avoir identifié l’employé de la SSI dont les identifiants auraient été compromis.
Troy Mursch, de Bad Packets, fait quant à lui état de « multiples serveurs affectés par la vulnérabilité CVE-2019-19871 et d’un autre par la CVE-2020-5902 ». La première est désormais bien connue sous le surnom de shitrix et concerne les systèmes Netscale/Gateway. Elle a été largement exploitée depuis le début de l’année par les cyberdélinquants, notamment dans des cas de rançongiciel. La seconde est moins célèbre, mais pas forcément moins grave, et touche les systèmes F5 BIG-IP. Début juillet, de nombreux systèmes affectés par cette vulnérabilité exposaient directement leur interface d’administration sur Internet, ouvrant la voie à de possibles attaques.
Nous avons adressé une demande de commentaires à Capgemini et nous ne manquerons pas de mettre à jour cet article dès que des réponses nous parviendront.