La CDU allemande victime d’une cyberattaque via son VPN CheckPoint
Le 1er juin, la CDU allemande s’est dite victime d’une cyberattaque conduite par des acteurs qualifiés de « très professionnels ». Ils auraient en fait exploité la vulnérabilité CVE-2024-24919 tout récemment dévoilée par Check Point.
Branle-bas de combat outre-Rhin : le 1er juin, la CDU s’est déclarée victime d’une cyberattaque.
Celle-ci survient dans le contexte des imminentes élections européennes et d’une cyberattaque déplorée, il y a quelques mois par un autre parti politique allemand, le SPD, et attribuée alors au groupe APT28.
Dans une déclaration, le ministre fédéral allemand de l’Intérieur a qualifié la toute récente attaque contre le système d’information de la CDU de « sérieuse » et ses responsables de « très professionnels ».
En conséquence, le parti concerné a mis à l’arrêt certains pans de son système d’information et, d’autres, à l’isolement.
Selon nos confrères de Heise, le vecteur d’intrusion initial est l’exploitation de la vulnérabilité CVE-2024-24919 récemment dévoilée par Check Point. Celle-ci peut permettre d’extraire sans trop de difficulté des fichiers des appliances affectées et détourner des comptes utilisateurs légitimes en l’absence d’authentification à facteurs multiples. Elle serait exploitée depuis au moins le 7 avril dernier.
Les données de l’outil de gestion de la surface d’attaque exposée Onyphe montrent que la CDU dispose bien d’une appliance Check Point qui était encore utilisée pour fournir des services d’accès réseau à distance (VPN) le 22 mai dernier.
Balayée le 31 mai, elle n’exposait plus ces services, suggérant que les recommandations d’atténuation de la vulnérabilité préconisées par Check Point avaient été suivies. Mais peut-être trop tard.
De fait, ce type de vulnérabilité ne doit pas se traiter par la simple application des correctifs ou des mesures d’atténuation recommandées dès qu’il est connu que leur exploitation a démarré antérieurement à la divulgation publique de la menace.
À ce stade, rien n’a été partagé publiquement sur les acteurs malveillants exploitant déjà la CVE-2024-24919 et ayant commencé son exploitation alors qu’elle constituait encore un 0day.