Il y a plus d’un an, le fournisseur de solutions de sécurité SonicWall avait lancé une alerte concernant une faille critique dans ses firewalls à destination des PME et publié un correctif. Problème : de nombreux clients ne l'ont toujours pas appliqué et sont ciblés par le cybergang par rançongiciel Akira. Ce dernier, qui émane de Conti apparu en mars 2023, a extorqué en 2024 au moins 250 entreprises pour un montant supérieur à 40 M$. Corrigée il y a plus d’un an, la faille identifiée en tant que CVE-2024-40766 porte sur du contrôle d'accès incorrect dans le système de gestion SonicOS. Elle peut entraîner un accès non autorisé aux ressources et, dans certaines conditions spécifiques, faire planter les pare-feux. Ce problème affecte les modèles Gen 5, 6 et 7 fonctionnant sous la version 7.0.1-5035 ou antérieure de SonicOS. Des chercheurs de Rapid7 ont récemment publié un rapport indiquant avoir observé une augmentation des intrusions impliquant des dispositifs SonicWall. « Nous sommes désormais convaincus que l'activité SSLVPN récente n'est pas liée à une vulnérabilité zero-day. Il existe en revanche une corrélation significative avec l'activité malveillante liée à CVE-2024-40766. » 

Ces alertes font suite à un avis publié en août dernier par SonicWall indiquant que la société enquêtait sur moins de 40 incidents liés aux pare-feux Gen 7 et plus récents avec SSLVPN activé. « Bon nombre de ces incidents sont liés à des migrations de pare-feu Gen 6 vers Gen 7, au cours desquelles les mots de passe des utilisateurs locaux ont été transférés sans être réinitialisés », a fait savoir le fournisseur. « La réinitialisation des mots de passe était une étape cruciale décrite dans l'avis initial. » 

Des exploits identifiés dans plusieurs pays

La semaine dernière, le centre de cybersécurité australien a constaté une augmentation des exploitations actives liées à cette vulnérabilité dans les pare-feux SonicWall avec SSL VPN activé.  « Les entreprises restent vulnérables si elles n'ont pas pleinement mis en œuvre les conseils d'atténuation en mettant à jour les identifiants après la mise à jour du micrologiciel », a prévenu ce centre qui a identifié des cas d’exploitation en Australie. Si son homologue américain, la Cisa, n’a pour l’instant pas communiqué sur le sujet (exception faite d'une alerte de sécurité initiale remontant à 2024, par ailleurs également émise par le Cert-Fr), cette menace est pourtant également exploitée ailleurs. « Il ne s'agit pas seulement d’attaque contre l'Australie », a déclaré dans une interview Alan Liska, membre de l'équipe de réponse à incident du fournisseur de cybersécurité Recorded Future. « Les premiers signalements dont nous avons eu connaissance concernant l'exploitation de ce VPN SSL par Akira remontent au moins au mois de janvier, voire un peu plus tôt aux États-Unis et au Royaume-Uni ». Il a ajouté que l’entité d’Akira spécialisée dans les ransomwares en tant que service est à l'origine de cette attaque. 

Malheureusement, selon M. Liska, les équipements SonicWall sont généralement hébergés par de petites entreprises qui ne disposent pas nécessairement d'une équipe informatique ou de sécurité dédiée chargée de superviser l'application des correctifs. « L'une des raisons pour lesquelles les auteurs de ransomware ont tant de succès contre les VPN est qu'ils ont tendance à rester non corrigés beaucoup plus longtemps que les autres systèmes. Dans ce cas, non seulement le correctif devait être installé, mais le mot de passe administrateur devait être modifié immédiatement après », poursuit M. Liska. 

Akira une menace de plus en plus présente

Selon un rapport du spécialiste en réponse à incidents et récupération de données après ransomware Coveware (racheté par Veeam en avril 2024), le rançongiciel Akira a consolidé sa réputation comme l'une des cybermenaces les plus implacables et les plus perturbatrices affectant les entreprises aujourd'hui. Depuis plusieurs trimestres, ce dernier est en tête (14 %) des attaques par ransomware. En général, indique Raymond Umerley Field CISO de Coveware, les membres de ce gang accèdent à un réseau informatique à l'aide d'identifiants volés, via des services d'accès à distance exposés tels que les VPN et Windows RDP. Ils copient ensuite les données afin de les utiliser à des fins d'extorsion, puis s'attaquent aux serveurs VMware ESXi pour chiffrer les données. 

Robert Beggs, CEO et fondateur de la société canadienne de Digital Defence en réponse aux incidents, estime quant à lui quAkira a développé un système automatisé pour détecter et exploiter les pare-feux SonicWall non corrigés. « Il n'est pas rare qu'un pirate attende un peu avant de cibler une vulnérabilité signalée », explique M. Beggs. « Les entreprises qui ne corrigent pas une vulnérabilité connue dans un produit de sécurité edge tel que SonicWall VPN ont généralement une cybersécurité globalement médiocre et constituent une cible de choix. » 

Mises à jour à appliquer, mots de passe à changer

M. Liska, de Recorded Future, a conseillé aux RSSI et aux responsables informatiques utilisant des pare-feux SonicWall dans leurs environnements informatiques de s'assurer que les systèmes sont entièrement mis à jour, que la dernière version de SonicOS est installée et que les mots de passe administrateur sont régulièrement changés. Le centre canadien pour la cybersécurité a ajouté quant à lui que ce changement est particulièrement important s’ils ont été transférés lors de la migration de Gen 6 à 7.  

Les clients devraient également envisager de limiter le nombre de personnes ayant accès au VPN. Pour réduire les risques d'être victime d'un ransomware, M. Liska, qui est également membre du groupe de travail sur les ransomwares de l'Institute for Security and Technology (IST), a déclaré que les entreprises devraient corriger tous les systèmes exposés sur Internet dès que les correctifs sont publiés, activer l'authentification multifactorielle résistante au phishing pour tous les utilisateurs, surveiller Internet pour détecter les fuites d'identifiants, et faire tourner régulièrement des campagnes de sensibilisation à la sécurité contre le phishing auprès des employés. Les RSSI peuvent également consulter le plan d'action de défense contre les ransomwares de l'IST pour davantage de conseils.