JT Jeeraphun - stock.adobe.com
Ransomware : Cring profite d’une ancienne vulnérabilité sur les VPNs Fortinet
Une vulnérabilité affectant les VPN Fortigate de Fortinet, dévoilée et corrigée en 2019, est utilisée pour déployer le ransomware Cring et extorquer les entreprises. Notamment dans le monde industriel.
Si c’est dans les vieux pots que l’on fait les meilleures soupes, c’est dans les vieilles vulnérabilités que les cybercriminels font leurs gains les plus faciles. Une vieille vulnérabilité affectant le VPN Fortigate de Fortinet, la CVE-2018-13379, est ainsi exploitée par les opérateurs du ransomware Cring, selon un récent rapport de l’ICS CERT de Kaspersky Lab.
Cette vulnérabilité a été publiquement dévoilée au printemps 2019. Fortinet a réitéré sa communication à destination de ses clients au mois d’août suivant, et en juillet 2020, les enjoignant à mettre à jour leurs systèmes affectés. L’équipementier est revenu à la charge à l’automne dernier, soulignant au passage que le tableau de bord de systèmes Fortigate affectés alerte son utilisateur avec un bandeau de notification.
À travers le monde, de nombreux Cert nationaux ont également essayé d’attirer l’attention des utilisateurs de systèmes Fortinet affectés, jusqu’à celui de Hong Kong qui, en décembre dernier, dénombrait encore un millier d’hôtes concernés sur son périmètre.
À l’occasion des premiers confinements au printemps 2020, la Cyber Threat Coalition appelait à soigner l’hygiène de ses systèmes d’accès distant. Car la CVE-2018-13379 est connue pour être activement exploitée par des attaquants depuis l’automne 2019, y compris par des adversaires soupçonnés d’être soutenus par des États-nations.
Mais nombre de ces efforts peuvent sembler avoir été vains. Par exemple, le Centre technologique de l’automobile de Galice (CTAG), frappé en novembre dernier par Revil/Sodinokibi, exposait, jusqu’à mi-octobre, un système Fortinet affecté par la CVE-2018-13379, selon les données du moteur de recherche spécialisé Onyphe. Une vulnérabilité qui s’inscrit dans le Top 5 des plus exploitées en 2020, selon Tenable.
Selon le rapport de l’ICS-Cert de Kaspersky, le ransomware Cring allonge donc désormais la liste des activités malveillantes exploitant cette ancienne vulnérabilité. Et les victimes de ces dernières attaques seraient notamment des industriels européens. Dans au moins un cas, la victime a connu « un arrêt temporaire du processus industriel en raison du chiffrement des serveurs » chargés de contrôler celui-ci.
Cring a été signalé pour la première fois en janvier, sa plus ancienne activité connue remontant à décembre 2020. Et il ne semble pas s’agir d’opérations automatisées : selon le rapport de Kaspersky, les attaquants ont utilisé MimiKatz et Cobalt Strike pour se déplacer dans le réseau de leur victime et y élever leurs privilèges. Rançon demandée en définitive : 2 bitcoins.
Dans leur rapport, les experts de Kaspersky attirent l’attention sur un post de forum fréquenté notamment par des cybercriminels. Remontant à l’automne 2020, il prétend proposer une base de données des équipements encore vulnérables.
Vyacheslav Kopeytsev, chercheur principal en sécurité à l’ICS Cert de Kaspersky, a déclaré à nos confrères de SearchSecurity, dans un courriel, que la base de données en question comprenait 50 000 hôtes, mais n’a pas pu en confirmer l’authenticité.
Vyacheslav Kopeytsev estime que Fortinet « a fait un bon travail en corrigeant la vulnérabilité et en informant les utilisateurs de la menace ». Mais il est difficile d’en dire autant de ceux-ci. Reste qu’il est « fréquent que les entreprises industrielles rencontrent des problèmes lors de l’installation des mises à jour. Dans la plupart des cas, la raison en est qu’avant d’être installée, une mise à jour doit être testée de manière approfondie. Parfois, l’installation n’est possible que pendant la maintenance. Cependant, dans ce cas, un serveur VPN a été affecté, qui ne faisait pas partie du processus industriel ».
Difficile, du coup, de se réfugier derrière l’excuse des contraintes spécifiques aux systèmes industriels ou des exigences de disponibilité de ceux-ci. Pour Vyacheslav Kopeytsev, l’absence d’application des correctifs disponibles « pourrait être liée à une attention insuffisante portée à la sécurité de l’information ».