Attaques de type "Zero-Day" sur les solutions de cyber sécurité : L'importance du NDR

Les vulnérabilités zero-day touchant les solutions de cybersécurité sont rapidement devenues l'un des vecteurs d'attaque les plus exploités pour infiltrer les réseaux d'entreprise. Selon un récent rapport des agences de cybersécurité de l'alliance Five Eyes (États-Unis, Royaume-Uni, Australie, Canada et Nouvelle-Zélande) il s'agit d'une tendance alarmante, marquant un tournant par rapport aux années précédentes. Pour la première fois, la majorité des 15 vulnérabilités les plus exploitées étaient initialement des "zero-days", incluant des failles critiques dans Citrix NetScaler, Fortinet VPN et les routeurs Cisco. Les rapports ont révélé que les cybercriminels, y compris des acteurs soupçonnés d'être soutenus par les États-nations, ont exploité ces vulnérabilités pour compromettre des milliers d'appareils, obtenant un accès persistant et installant des webshells pour un contrôle à long terme.

Cette augmentation souligne une "nouvelle normalité" préoccupante, où les attaquants exploitent en priorité les vulnérabilités "zero-day" récemment divulguées pour s'infiltrer dans les réseaux.

La mise en place de solutions détection et réponse aux incidents (NDR) est essentielle pour détecter les activités post-compromission et atténuer les risques associés à ces attaques sophistiquées.

L'évolution inquiétante des menaces

Les attaquants se concentrent de plus en plus sur les équipements de sécurité de périphérie réseau comme points d'entrée. Ces solutions sont des cibles attrayantes car ils se trouvent souvent à la frontière entre les réseaux de confiance et les réseaux non fiables, et les compromettre peut permettre aux attaquants d'avoir un pied dans le réseau.

Les exemples suivants mettent en évidence la tendance croissante des exploits de type "zero-day" ciblant ces systèmes critiques :

• Palo Alto Zero-Days: permet l'exécution de code à distance sans authentification, ce qui donne aux attaquants le contrôle total du pare-feu sans authentification préalable.
• Violations chez Ivanti (Pulse Secure): Des vulnérabilités de contournement d'authentification ont permis à des attaquants d'infiltrer des réseaux sans être détectés.
• Exploits ADC de Citrix: Les vulnérabilités liées à l'exécution de codes à distance ont entraîné d'importantes violations dans les environnements d'entreprise.
• SonicWall Zero-Days: Des vulnérabilités non corrigées ont été exploitées pour compromettre des dispositifs d'accès à distance sécurisés.
• Vulnérabilités de Fortinet: Des failles critiques de type "zero-day" ont été exploitées pour prendre le contrôle des systèmes de pare-feu Fortinet, sapant ainsi les défenses du réseau.
• Vulnérabilité F5 BIG-IP : Vulnérabilité critique d'exécution de code à distance exploitée pour obtenir un contrôle administratif sur les appareils, conduisant à une compromission potentielle de l'ensemble du réseau.

Ces cas démontrent que même des dispositifs de sécurité fiables peuvent devenir dangereux. Lorsque des pirates pénètrent dans ces systèmes, ils peuvent manipuler ou désactiver les dispositifs de sécurité, ce qui rend les contrôles traditionnels inefficaces.

Les conséquences de la compromission des dispositifs de sécurité

Les outils de sécurité traditionnels ne peuvent souvent pas détecter les activités malveillantes provenant de dispositifs de confiance tels que les pare-feu. Comme ces dispositifs sont considérés comme sûrs par défaut, les comportements anormaux peuvent passer inaperçus. Une fois compromis, ces dispositifs peuvent être utilisés en toute impunité pour pivoter au sein de l'organisation, devenant ainsi de puissants outils permettant aux attaquants d'intensifier leurs activités.

Lorsqu'un dispositif de périphérie de réseau tel qu'un pare-feu est compromis, il ébranle les fondements mêmes de la sécurité du réseau. Les attaquants peuvent manipuler ou désactiver les fonctions de sécurité, modifier les configurations et accéder aux données sensibles stockées dans l'appareil. Par exemple, après avoir exploité CVE-2024-3400, les attaquants ont pu :

• Récupérer les configurations de pare-feu Obtenir des informations sur l'architecture du réseau, les plages d'adresses IP et les mécanismes d'authentification.
• Récolter des informations d'identification : Les pare-feu et les services d'accès à distance détiennent souvent des informations d'identification privilégiées concernant le domaine et d'autres services de l'organisation. Ces informations d'identification peuvent être extraites et utilisées pour l'escalade des privilèges, ce qui permet aux attaquants d'accéder plus facilement aux systèmes critiques.
• Désactiver la journalisation et les alertes: Empêcher la détection en supprimant les notifications de sécurité.

Si vous souhaitez en savoir plus sur les aspects techniques de la vulnérabilité CVE-2024-3400, son impact sur les différentes versions de PAN-OS, l'urgence de patcher, regardez notre Threat Briefing.

Activités post-compromis : que se passe-t-il ensuite ?

Une fois qu'ils ont pénétré dans le réseau, les attaquants se livrent généralement à plusieurs activités après la compromission :

1. Reconnaissance

Les attaquants cartographient le réseau interne afin d'identifier les actifs de valeur et les systèmes critiques. Ils analysent l'architecture du réseau, identifient les structures Active Directory et repèrent les serveurs ou les bases de données contenant des informations de grande valeur.

Exemple : Dans l'attaque de SolarWinds, les attaquants ont utilisé la reconnaissance pour cartographier les environnements Active Directory des organisations touchées, en identifiant les comptes privilégiés et les ressources sensibles à cibler.

2. Récolte de données d'identification

Les attaquants extraient des informations d'identification afin d'augmenter les privilèges et d'obtenir un accès plus approfondi au réseau. Cela implique souvent la capture de mots de passe stockés, l'utilisation d'outils de vidage d'informations d'identification ou le vol d'informations d'identification à partir de configurations de systèmes compromis.

Exemple : Midnight Blizzard, un groupe de menace sophistiqué, a utilisé phishing et malware pour voler des informations d'identification à haut niveau de privilège, ce qui leur a permis d'accéder à des systèmes de courrier électronique sensibles et à des environnements cloud .

3. Mouvement latéral

Les attaquants utilisent des protocoles tels que SMB, RDP et WinRM pour passer d'un système à l'autre, ce qui leur permet de s'implanter plus facilement au sein de l'organisation. Ils exploitent les relations de confiance et la faiblesse des contrôles d'accès pour atteindre des cibles de grande valeur.

Exemple : Lors de l'attaque du ransomware WannaCry, les attaquants ont exploité la vulnérabilité EternalBlue dans SMB pour se propager latéralement à travers les réseaux, infectant de nombreux points finaux.

4. Exfiltration de données

Les attaquants collectent et transfèrent des données sensibles hors du réseau, souvent en les chiffrant ou en les envoyant à des serveurs externes sous leur contrôle. Les données volées peuvent être utilisées à des fins d'extorsion, vendues sur le dark web ou utilisées pour d'autres attaques.

Exemple : Le groupe de ransomware Clop a exploité la vulnérabilité de MOVEit Transfer pour voler des données sensibles à des centaines d'organisations, puis les a utilisées pour extorquer les victimes en les menaçant de les exposer publiquement.

5. Persistance

Les attaquants créent des portes dérobées pour maintenir un accès continu au réseau compromis, en s'assurant qu'ils peuvent revenir même après les efforts de remédiation. Cette persistance peut inclure des webshells, des implants malware ou des comptes manipulés.

Exemple : En 2023, cybercriminels a exploité une vulnérabilité zero-day dans les appliances Citrix NetScaler ADC (CVE-2023-3519) pour implanter des webshells. Ces webshells fournissaient un accès persistant, permettant aux attaquants de découvrir l'Active Directory de la victime, de collecter et d'exfiltrer des données.

Dans le cas de l'exploitation d'un pare-feu, les attaquants utilisent le dispositif compromis pour établir des connexions avec plusieurs systèmes internes, en ciblant les contrôleurs de domaine, les clés de protection des données de sauvegarde et les postes de travail des utilisateurs.

L'impératif de détection et réponse aux incidents (NDR)

Face à ces attaques sophistiquées, il ne suffit pas de s'appuyer sur les mesures de sécurité traditionnelles. Les organisations ont besoin d'un moyen indépendant et complet pour détecter les activités malveillantes qui contournent ou proviennent de dispositifs compromis. C'est là que détection et réponse aux incidents (NDR) devient crucial.

Pourquoi le NDR est essentiel

• Détection indépendante des menaces : Le NDR fonctionne indépendamment de la sécurité de endpoint et des dispositifs compromis, ce qui garantit une visibilité continue.
• Analyse comportementale : En analysant les schémas de trafic du réseau, le NDR peut identifier des anomalies indiquant une reconnaissance, un mouvement latéral et d'autres activités malveillantes.
• Détection rapide : Les solutions NDR telles que Vectra AI utilisent des modèles avancés d'apprentissage automatique pour détecter les menaces en temps réel, minimisant ainsi la fenêtre d'opportunité pour les attaquants.
• Une couverture complète : Le NDR surveille l'ensemble du trafic réseau, y compris les communications est-ouest (internes) souvent exploitées lors de mouvements latéraux.

Comment Vectra AI détecte les activités post-compromission

La plateforme Vectra AI est spécialement conçue pour identifier, étudier et répondre aux menaces qui ont échappé à une infrastructure de sécurité compromise ou qui en sont à l'origine. L'intelligence du signal d'attaque de Vectra AI (Attack Signal Intelligence) s'appuie sur l'intelligence artificielle (IA) et l'apprentissage automatique (ML) pour analyser le trafic réseau en temps réel et détecter les signes subtils d'un comportement malveillant.

Notre intelligence articificielle détecte :

• Comportement administratif suspect : Détecte l'utilisation inhabituelle de protocoles administratifs tels que WinRM, SSH et RDP. Si un dispositif tel qu'un pare-feu établit soudainement des connexions avec des systèmes internes à l'aide de ces protocoles (un comportement qui n'avait pas été observé auparavant), Vectra AI le signale comme suspect.
• Exécution à distance suspecte : Contrôle des activités d'exécution à distance à l'aide d'outils tels que PowerShell Remoting et PsExec. Les anomalies dans l'utilisation de ces outils provenant de sources inattendues sont le signe d'un mouvement latéral.
• Analyse de l'accès aux privilèges : Analyse les modèles d'authentification Kerberos pour détecter les accès anormaux aux services et aux hôtes. Si un appareil compromis commence à accéder à des services ou à des hôtes avec lesquels il n'a jamais interagi auparavant, en particulier ceux qui requièrent des privilèges élevés, Vectra AI l'identifie comme une menace potentielle.

Exemple : détection d'un exploit de pare-feu

Dans le cas où les attaquants exploitent une vulnérabilité du pare-feu :

• Détection de trafic anormal: Vectra AI détecterait le pare-feu qui établit des connexions inhabituelles avec des systèmes internes à l'aide de protocoles administratifs.
• Identification des abus d'identification : L'utilisation d'informations d'identification récoltées pour accéder à des services critiques déclencherait des alertes en cas d'écart par rapport aux schémas d'authentification normaux.
• Triage piloté par l'IA : Le triage piloté par l'IA permet de trier automatiquement les menaces détectées, de réduire le bruit et de mettre en évidence les incidents les plus critiques en vue d'une réponse immédiate, ce qui permet d'accélérer et d'améliorer l'efficacité des enquêtes.
• Priorités basées sur l'IA: Vectra AI's prioritization assure que ces menaces critiques sont portées à l'attention immédiate des équipes de sécurité pour une action rapide. Consultez notre infographie sur la façon dont les attaquants hybrides vont au-delà du site Endpoint.

Au-delà de la détection : l'importance d'une réponse rapide

La détection n'est que la première étape. Une réponse rapide est essentielle pour contenir les menaces et minimiser les dommages.

Les capacités de réponse de Vectra AI

• Actions automatisées : Vectra AI peut automatiquement désactiver les comptes d'utilisateurs compromis ou isoler les hôtes affectés, limitant ainsi la capacité de l'attaquant à se déplacer latéralement.
• Intégration à l'écosystème de sécurité: Fonctionne en toute transparence avec les outils de sécurité existants, tels que les pare-feu et les plates-formes de protection endpoint , afin d'appliquer les politiques de sécurité.
• Des informations exploitables: Fournit un contexte détaillé et des recommandations pour aider les équipes de sécurité dans leurs efforts d'investigation et de remédiation.

Les attaques zero-day ciblant les périphériques réseau représentent une menace importante et en constante évolution. Une fois que les attaquants ont compromis ces dispositifs, ils peuvent naviguer dans le réseau sans être détectés, ce qui rend les mesures de sécurité traditionnelles inefficaces. Parfois, les mesures proactives ne suffisent pas, c'est pourquoi la mise en œuvre d'une solution NDR telle que Vectra AI est essentielle :

• Détecter les activités postérieures à la compromission : Identifier les comportements malveillants qui se produisent après la violation initiale.
• Maintenir la visibilité de la sécurité : Assurer une surveillance continue même lorsque les défenses primaires sont compromises.
• Permettre une réaction rapide : Faciliter une action rapide pour contenir les menaces et y remédier. Gardez une longueur d'avance sur les menaces au-delà de la frontière. Demandez une démonstration dès aujourd'hui pour découvrir comment vous pouvez détecter et répondre aux attaques, même lorsque vos défenses primaires sont compromises.

Gardez une longueur d'avance sur les menaces au-delà de la périphérie. Demandez une démonstration dès aujourd'hui pour découvrir comment vous pouvez détecter et répondre aux attaques, même lorsque vos défenses primaires sont compromises.