Le soir du 23 janvier, après avoir détecté une « attaque coordonnée », le fabricant d’appareils réseau SonicWall a déclaré investiguer une faille de sécurité de son réseau interne.
SonicWall, le fabricant d’appareils de réseau garant de sécurité d’accès aux réseaux d’entreprise, n’est pas la première firme de cybersécurité à déclarer une faille de sécurité au cours des derniers mois. Les vulnérabilités des fournisseurs de solutions de sécurité deviennent de plus en plus fréquentes.
La firme de cybersécurité de premier plan, FireEye a été la première à communiquer sur l’attaque de cybers-espionnage qui a exploité une faille dans le système de mises à jour du produit de surveillance de réseau Orion de SolarWinds. Les outils de hacking utilisés, pour infiltrer les réseaux ciblés et distribuer une porte dérobée nommée «SUNBURST», ont provoqué des activités de mouvement latéral et de vol de données.
Récemment, l’éditeur d’antivirus Malwarebytes a été ciblé par l’attaque SolarWinds et les hackers ont réussi à accéder à des e-mails internes.
Une faille de sécurité a été identifiée dans plus de 100 000 pare-feu et passerelles VPN du fabricant et éditeur de solutions réseaux taïwanais Zyxel.
CrowdStrike a déclaré avoir été visé par cette attaque qui, par contre, n’a pas réussi.
Cisco, un éditeur de logiciel et constructeur informatique de dispositifs réseaux, a lui aussi été ciblé par des pirates informatiques.
Dans le cadre de cette campagne d’attaques, des agences fédérales ont aussi été victimes de groupe de hackers (Cozy Bear ou APT 29) qui, selon le Washington Post, ont été soutenues par le gouvernement russe.
Même si ces attaques ne font pas partie de la même série, il est évident que même les entreprises-fournisseurs de système de sécurité, qui sont censés être les mieux protégées, sont visées et parfois piratées avec succès.
On ne sait pas quels étaient les motifs de ces attaques qui ont visé SonicWall : espionner l’entreprise, obtenir de l’argent suite à une rançon par ransomware ou d’autres moyens d’extorsion. SonicWall n’a pas donné d’informations sur les charges utiles des attaques, les outils ou autres indicateurs de compromis (Other Indicators of Compromise, OiC).
Sur son portail, SonicWall a publié la déclaration où elle constate que ses systèmes internes ont été piratés en « exploitant probablement les vulnérabilités « zero-day » de certains produits d’accès à distance sécurisé SonicWall ».
SonicWall a relevé que ce sont les clients VPN NetExtender, ainsi que les passerelles Secure Mobile Access (SMA) qui ont été touchés : les clients NetExtender VPN version 10.x utilisés avec appareils de la série SMA 100 et aux pare-feux SonicWall et l’accès mobile sécurisé (SMA) version 10.x utilisés avec les appliances physiques SMA 200, SMA 210, SMA 400, SMA 410 et l’appliance virtuelle SMA 500v, tandis que la nouvelle série SMA 1000 n’a pas été concernée car ce n’est pas le client VPN NetExtender qu’elle utilise.
La société a aussi publié une série de recommandations d’assistance pour que les utilisateurs puissent sécuriser leurs réseaux. Parmi ces mesures d’atténuation, le déploiement d’un pare-feu permettant de limiter les personnes qui peuvent interagir avec les dispositifs SMA et la restriction d’accès aux pare-feux via le client VPN NetExtender.
De plus, SonicWall incite ces clients à activer les options d’authentification à deux facteurs pour les comptes d’administration.