Cyberattaques iraniennes : une faille critique non corrigée dans 63 % des environnements selon Tenable
octobre 2024 par Ray Carney, Directeur de la Recherche chez Tenable
Suite à l’avis conjoint a été publié par le FBI, la CISA, la NSA, ainsi que les agences canadiennes CSE et australiennes AFP : https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-290a. Celui-ci décrit des cyberattaques menées par des acteurs parrainés par l’Iran, y compris l’exploitation de vulnérabilités connues et des techniques d’ingénierie sociale. Le commentaire de Ray Carney, Directeur de la Recherche chez Tenable :
« Tenable Research a récemment analysé les vulnérabilités ajoutées à la liste KEV (Known Exploited Vulnerabilities) de la CISA (CVE-2024-9680, CVE-2024-30088 et CVE-2024-28987). Nous avons découvert que la vulnérabilité CVE-2024-9680, une faille critique affectant Firefox, n’est pas corrigée dans environ 63 % des environnements. Elle permet à un attaquant d’exécuter du code en exploitant une erreur de gestion mémoire dans les timelines d’animation de Firefox.
Bien que ces vulnérabilités soient préoccupantes, cet avis met en avant un problème plus large, lié aux comportements humains et aux processus internes. En effet, si un attaquant parvient à convaincre un employé de lui fournir ses identifiants ou ses codes d’accès, peu importe la faille qu’il exploite pour pénétrer dans le système : les dernières lignes de défense auront déjà été franchies.
Une technique appelée push bombing est souvent utilisée dans ce contexte. Elle consiste à inonder l’utilisateur de demandes d’authentification multifactorielle (MFA) jusqu’à ce qu’il cède, par erreur ou par lassitude, en validant l’accès. Cette méthode, également connue sous le nom d’attaque de fatigue MFA, peut être efficacement contrée par des MFA résistantes au phishing. À défaut, le number matching – un processus qui impose à l’utilisateur de saisir un code temporel spécifique – constitue une alternative acceptable, déjà présente dans de nombreux systèmes d’identité.
La vente d’accès à des systèmes compromis peut entraîner des conséquences graves, comme des attaques par ransomware, des fuites de données, ou des perturbations dans les chaînes d’approvisionnement. Pire encore, une prise de contrôle directe de ces systèmes peut affecter les utilisateurs finaux, causant par exemple des coupures de courant ou une contamination de l’eau. Les opérateurs d’infrastructures critiques ont la responsabilité d’anticiper et de résoudre ces risques pour protéger leurs clients. »