Un jour passe, et une autre cyberattaque frappe. Cette fois-ci, un incident récent a touché une importante entité du gouvernement américain connue sous le nom de Cybersecurity and Infrastructure Security Agency (CISA) (Agence de cybersécurité et de sécurité des infrastructures). En février dernier, les responsables de la CISA ont découvert que deux de ses systèmes informatiques internes avaient été compromis par des hackers qui ont exploité des bugs dans les produits Ivanti, et les deux systèmes ont été mis hors ligne une fois la faille détectée.
L’intrusion a concerné deux systèmes de la CISA, la passerelle de protection des infrastructures (IP), un outil intégré qui permet aux partenaires du ministère de la sécurité intérieure (DHS) d’obtenir des informations sur les infrastructures critiques basées aux États-Unis afin de procéder à des évaluations des risques, et l’outil d’évaluation de la sécurité chimique (CSAT), un portail qui détient des données telles que les plans de sécurité chimique du secteur privé. Les pirates sont parvenus à contourner l’outil de vérification de l’intégrité (ICT) d’Ivanti et à déployer un shell Web contre la CSAT. La technologie des systèmes utilisés par la CISA et les autres utilisateurs finaux était obsolète et devait être mise à jour, ce qui a fourni aux cybercriminels l’occasion idéale de pirater le logiciel de l’agence.
La CISA a révélé au Congrès que l’attaque contre l’outil CSAT pourrait avoir touché plus de 100 000 personnes, mais selon les autorités, aucuns vols de données ni perturbations opérationnelles ne semblent avoir été signalés.
Les événements qui ont précédé l’attaque
Depuis début décembre 2023, la société informatique Ivanti, basée dans l’Utah, a identifié une série de vulnérabilités liées à son VPN d’accès à distance, Connect Secure, et à sa solution de contrôle d’accès au réseau, Policy Secure. La CISA a publié des alertes et des conseils sur les mesures de récupération et les correctifs recommandés par les fournisseurs, mais les intrus ont continué à échapper à la détection et à exploiter les vulnérabilités ces derniers mois.
Qui est derrière l’attaque ?
Aucun acteur de la menace n’a été officiellement identifié comme auteur de cette attaque contre la CISA, mais des groupes d’espionnage liés au gouvernement chinois sont soupçonnés d’être responsables de l’exploitation incessante des failles des solutions réseau et points de terminaison d’Ivanti. Parmi les collectifs connus à l’origine de la compromission d’au moins une des récentes failles d’Ivanti figure un agent du cybersyndicat connu sous le nom de « Magnet Goblin ». Ce groupe se concentre généralement sur l’exploitation des vulnérabilités one-day afin de pouvoir en tirer rapidement parti dès qu’elles sont divulguées. C’était le cas lorsqu’Ivanti a publié un avis concernant la vulnérabilité CVE-2024-21887. Magnet Goblin a commencé à cibler les systèmes non corrigés un jour après la publication d’un correctif par la société.
La réalité des cyberincidents aujourd’hui
La violation de la CISA est un exemple de la complexité et de la dynamique de l’environnement actuel des menaces pour les agences gouvernementales. La détection rapide des activités suspectes par la CISA, suivie de mesures proactives pour mettre hors service les deux systèmes critiques, souligne son engagement à être un protecteur résilient, en particulier dans des cas comme celui-ci qui impliquent des attaques répétées et sophistiquées contre le même logiciel dans les mois précédant l’attaque contre la CISA.
Enseignements tirés : L’importance de la modernisation informatique
L’une des principales conclusions à tirer de cette situation est que les systèmes existants doivent être remplacés régulièrement afin de réduire le risque que des logiciels tiers contiennent des vulnérabilités. Les organismes gouvernementaux de toutes tailles stockent des informations sensibles. Il est donc essentiel de s’assurer que tous les éléments de l’infrastructure de cybersécurité sont sécurisés et à jour pour se protéger contre les faiblesses et les failles connues.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
