La CISA, la NCSA et l’ACSC mettent en garde contre les acteurs iraniens de l’APT exploitant les failles de Microsoft et de Fortinet

  • FrançaisFrançais



  • Le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), l’Australian Cyber ​​Security Center (ACSC) et le National Cyber ​​Security Center (NCSC) du Royaume-Uni ont publié conjointement un avis de cybersécurité mettant en garde contre l’exploitation active de Fortinet. et les vulnérabilités Microsoft Exchange ProxyShell par des acteurs parrainés par l’État.

    L’activité malveillante serait l’œuvre d’un groupe de menace persistante avancée (APT) parrainé par l’État iranien. Les acteurs APT ont exploité les vulnérabilités de Fortinet FortiOS à partir de mars 2021 et une faille d’exécution de code à distance affectant les serveurs Microsoft Exchange depuis octobre 2021 pour obtenir un accès initial aux systèmes de déploiement de ransomware. Selon l’avis, l’ACSC est également conscient que ce groupe APT a utilisé la même vulnérabilité Microsoft Exchange en Australie.

    « Les acteurs de l’APT parrainés par le gouvernement iranien ciblent activement un large éventail de victimes dans plusieurs secteurs d’infrastructures critiques aux États-Unis, notamment le secteur des transports et le secteur de la santé et de la santé publique, ainsi que des organisations australiennes. Le FBI, la CISA, l’ACSC et le NCSC évaluent que les acteurs se concentrent sur l’exploitation des vulnérabilités connues plutôt que sur le ciblage de secteurs spécifiques. Ces acteurs APT parrainés par le gouvernement iranien peuvent tirer parti de cet accès pour des opérations de suivi, telles que l’exfiltration ou le cryptage de données, les ransomwares et l’extorsion », indique l’avis.

    L’attaque

    L’avis liste les outils malveillants utilisés :

    Atténuations

    Le FBI, la CISA, l’ACSC et le NCSC suggèrent les mesures d’atténuation suivantes pour réduire le risque de compromission par cette menace.

    • Systèmes de correctifs et de mise à jour : correctifs immédiats pour les logiciels affectés par les vulnérabilités : CVE-2021-34473, CVE-2018-13379, CVE-2020-12812 et CVE-2019-5591.
    • Évaluer et mettre à jour les listes de blocage et les listes d’autorisation
    • Mettre en œuvre et appliquer les politiques et procédures de sauvegarde et de restauration
    • Mettre en œuvre la segmentation du réseau
    • Comptes d’utilisateurs sécurisés
    • Mettre en œuvre l’authentification multifacteur
    • Utilisez des mots de passe forts
    • Sécurisez et surveillez RDP et autres services potentiellement risqués
    • Utiliser des programmes antivirus
    • Accès à distance sécurisé
    • Réduire le risque d’hameçonnage

    Cela s’arrêtera-t-il ?

    Les autorités fédérales de toutes les régions se sont jointes pour sensibiliser et aborder les APT parrainés par l’État ciblant les infrastructures critiques. En octobre 2021, Microsoft a exposé des menaces liées à l’Iran utilisant des techniques de pulvérisation de mots de passe pour pénétrer dans des entreprises de technologie de défense aux États-Unis, en Israël et dans certaines parties du Moyen-Orient.

    Selon le rapport Quarterly Ransomware Index Spotlight (T2 2021), il y a eu une augmentation de plusieurs marqueurs clés de ransomware. Une croissance constante a été observée dans le nombre de nouveaux groupes APT utilisant des ransomwares, une émergence de nouvelles familles de ransomwares et des offres de Ransomware-as-a-Service (RaaS), et une augmentation des énumérations de faiblesses communes (CWE) associées aux vulnérabilités recherchées.

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *