Les États-Unis, le Royaume-Uni et l’Australie épinglent l’Iran pour avoir exploité des failles de Fortinet et d’Exchange
Les autorités des États-Unis, du Royaume-Uni et de l’Australie ont demandé aux administrateurs de corriger immédiatement quatre vulnérabilités — CVE-2021-34473, 2020-12812, 2019-5591 et 2018-13379 — après avoir attribué certaines attaques qui les utilisaient à des attaquants soutenus par l’Iran.
“Le FBI et le CISA ont observé que ce groupe APT soutenu par le gouvernement iranien exploite les vulnérabilités de Fortinet depuis au moins mars 2021, ainsi qu’une vulnérabilité Microsoft Exchange ProxyShell depuis octobre 2021, afin d’obtenir un accès initial aux systèmes avant des opérations de suivi, qui incluent le déploiement de ransomwares”, indique un communiqué conjoint.
“L’Australian Cyber Security Centre sait également que ce groupe APT a utilisé la même vulnérabilité Microsoft Exchange en Australie.”
Plutôt que de s’en prendre à un certain secteur de l’économie, les autorités ont déclaré que les attaquants s’attachaient simplement à exploiter les vulnérabilités lorsque cela était possible et, après l’opération, ils essayaient ensuite de transformer cet accès initial en exfiltration de données, en attaque par ransomware ou en extorsion.
En utilisant les failles de Fortinet et d’Exchange pour l’accès, les attaquants ajoutaient ensuite des tâches au planificateur de tâches de Windows et créaient de nouveaux comptes sur les contrôleurs de domaine et d’autres systèmes pour ressembler aux comptes existants afin de maintenir l’accès. L’étape suivante consistait à activer BitLocker, à laisser une demande de rançon et à récupérer les données par FTP.
En avril, le FBI et le CISA ont émis des avertissements concernant les vulnérabilités des équipements Fortinet activement exploitées, et les autorités ont placé Fortinet dans le top 30 des vulnérabilités exploitées en juillet.
Par ailleurs, mercredi, Microsoft a émis son propre avertissement concernant six groupes iraniens qui utilisaient des vulnérabilités dans la même paire de produits pour diffuser des ransomwares.
Les vulnérabilités Exchange citées, connues sous le nom de ProxyShell, ont été initialement exploitées par des pirates soutenus par Pékin.
Source : “ZDNet.com”