Une faille zero-day d’un logiciel VPN exploitée par un groupe APT

Une faille zero-day d'un logiciel VPN exploitée par un groupe APT

Le FBI averti qu’un groupe d’attaquants de haut niveau, dit APT, exploite depuis mai 2021 une faille de type “zero-day” située dans des produits VPN de la marque FatPipe.

Le FBI a déclaré que son analyse judiciaire a montré que l’exploitation de la faille de type “zero-day” dans les logiciels FatPipe WARP, MPVPN et IPVPN, par un groupe de menaces persistantes avancées (APT), remonte au moins à mai 2021. Il n’a pas fourni d’autres informations sur l’identité du groupe. La vulnérabilité a permis aux attaquants d’accéder à une fonction de téléchargement de fichiers sans restriction pour déposer un webshell pour une activité d’exploitation avec un accès root, conduisant à une élévation de privilège et à une activité d’espionnage potentielle. Le FBI note : “L’exploitation de cette vulnérabilité a ensuite servi de tremplin vers d’autres infrastructures pour les pirates.”

Le FBI a déclaré que la vulnérabilité affecte tous les logiciels FatPipe WARP, MPVPN et IPVPN antérieurs aux dernières versions, 10.1.2r60p93 et 10.2.2r44p1.

publicité

La détection de l’activité d’exploitation délicate

Il a averti que la détection de l’activité d’exploitation pourrait être difficile, car des scripts de nettoyage conçus pour supprimer les traces de l’activité des attaquants ont été découverts dans la plupart des cas. “Les organisations qui identifient toute activité liée à ces indicateurs de compromission au sein de leurs réseaux doivent prendre des mesures immédiates”, a déclaré le FBI dans une alerte.

“Le FBI incite vivement les administrateurs système à mettre immédiatement à niveau leurs appareils et à suivre les autres recommandations de sécurité de FatPipe, comme la désactivation de l’interface utilisateur et de l’accès SSH depuis l’interface WAN (tournée vers l’extérieur) lorsqu’elle n’est pas activement utilisée.”

FatPipe dispose de son propre avis FPSA006, qui indique : “Une vulnérabilité dans l’interface de gestion Web du logiciel FatPipe pourrait permettre à un attaquant distant de télécharger un fichier vers n’importe quel emplacement du système de fichiers sur un appareil affecté. “La vulnérabilité est due à un manque de mécanismes de vérification des entrées et de la validation pour certaines requêtes HTTP sur un appareil affecté. Un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP modifiée à l’appareil affecté.”

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *