stokkete - stock.adobe.com

Ransomware : l’enseignement supérieur et la recherche en état d’alerte

Le fonctionnaire de sécurité des systèmes d’information de l’enseignement supérieur, de la recherche et de l’innovation, vient de diffuser une alerte pour des « tentatives de compromission particulièrement ciblées vers notre communauté ».

Ce premier mercredi 1er décembre, le fonctionnaire de sécurité des systèmes d’information (FSSI) de l’enseignement supérieur, de la recherche et de l’innovation, a sonné le tocsin : « nous avons été alertés de tentatives de compromission particulièrement ciblées vers notre communauté. C’est une menace très active ».

Selon plusieurs sources convergentes, tout serait parti d’une compromission ayant visé une instance, au sein d’une université, du système d’authentification du portail d’accès mutualisé de la Fédération Éducation-Recherche, qui offre des mécanismes de SSO (Single Sign-On, ou authentification unique) jusqu’à des applications hébergées en dehors des organismes membres de la fédération.

Ce système concerne plus de 350 établissements de l’enseignement supérieur et de la recherche : de nombreuses universités, des centres hospitaliers universitaires (CHU), des CROUS, plusieurs écoles centrales, des écoles nationales d’architecture, mais également l’Assemblée des Directeurs d’IUT, l’Agence de Mutualisation des Universités et Établissements, le CEA, le CNES, le CNRS, l’INRA, l’INSERM, INRIA, des INSA, etc.

Les assaillants seraient parvenus à altérer l’un des fichiers JavaScript au cœur de l’instance en question, basée sur le projet Apereo Central Authentication Service (CAS). Celui-ci est, à la base, une application Web basée sur Java, mais elle est fréquemment déployée sur Apache Tomcat. À ce stade, le plus probable est qu’un défaut de sécurisation de la pile technique ait permis cette altération.

Car il n’y a pas que cette altération : les intrus se sont également assuré une base de persistance en déposant un webshell – une interface leur permettant d’accéder, à distance, aux entrailles du serveur hébergeant l’application Web. Et qui a pu leur servir pour altérer le fichier JavaScript en question.

Pour ce faire, il apparaît probable qu’ils aient exploité la vulnérabilité CVE-2021-41773 ou CVE-2021-42013 d’Apache, même si l’alerte du FSSI ne le dit pas. Ces deux vulnérabilités sont connues pour faire partie de l’arsenal des cybermalfaiteurs, notamment dans le cadre d’attaques avec ransomware.

Et ce sont bien des attaques avec rançongiciel que semble redouter l’administration. D’autant plus que des compromissions seraient déjà survenues sur des contrôleurs de domaine Active Directory.

Le collectif de LeakIX a identifié au moins un serveur Apache affecté par la vulnérabilité CVE-2021-41773, durant l’automne, sur le réseau de Renater.

Toujours selon nos informations, c’est autour de la journée du 26 octobre que la campagne a commencé avec un premier dépôt non autorisé de fichiers. Quelques jours plus tôt avait été enregistré un nom de domaine visant à leurrer les utilisateurs alors qu’ils étaient redirigés vers un site Web frauduleux.

Pour approfondir sur Menaces, Ransomwares, DDoS