Une vaste campagne de cyberattaques menace actuellement les équipements de sécurité réseau à travers le monde. Mobilisant près de 2,8 millions d'adresses IP, cette offensive d'envergure cible notamment les pare-feu et VPN de grandes marques comme Palo Alto Networks, Ivanti et SonicWall.
L'activité malveillante a été repérée par la Shadowserver Foundation, organisation à but non lucratif qui se spécialise dans la cybersécurité. En cours depuis le mois dernier, elle s'est récemment intensifiée en exploitant la méthode dite de force brute.
Celle-ci repose sur une approche systématique et répétitive pour percer les défenses des appareils ciblés : les pirates tentent inlassablement différentes combinaisons d'identifiants et de mots de passe jusqu'à obtenir gain de cause. Lorsque c'est le cas, ils jouissent des mêmes droits que les administrateurs légitimes de l'appareil, leur permettant ainsi d'en prendre le contrôle total et de l'utiliser comme point d'entrée vers le reste du réseau.
Des routeurs et objets connectés compromis
La majorité des attaques provient du Brésil (1,1 million d'IP), suivi par la Turquie, la Russie, l'Argentine, le Maroc et le Mexique. Et bien que l'accent soit mis sur les dispositifs de sécurité périphériques des entreprises tels que les VPN, les pare-feu et les passerelles, les particuliers qui utilisent des dispositifs similaires sont également exposés.
C'est un très vaste réseau d'appareils préalablement compromis qui est pris pour cible, principalement des routeurs et objets connectés des constructeurs MikroTik, Huawei, Cisco, Boa et ZTE. Ils servent de force de frappe aux hackers pour tenter de percer les défenses d'autres organisations.
Selon The Shadowserver Foundation, la large distribution des adresses IP à travers de nombreux réseaux et systèmes autonomes suggère l'implication d'un réseau de botnets sophistiqués ou d'une opération liée aux réseaux proxy résidentiels, c'est-à-dire qu'ils suivent les ordres du hacker à l'insu du propriétaire de l'appareil.
Quels risques et comment s'en prémunir ?
Les conséquences peuvent être désastreuses. Des données sensibles risquent d'être dérobées, puis vendues sur le dark web. Pour les entreprises, cela peut entraîner des pertes financières importantes, des interruptions de service et une perte de confiance des clients, tandis que les particuliers sont sous la menace d'une usurpation d'identité ou de transactions non autorisées.
Ce n'est pas tout. Les appareils compromis peuvent aussi être utilisés pour mener d'autres cyberattaques, telles que des attaques par déni de service distribué (DDoS), à l'insu de leurs propriétaires.
Des mesures sont recommandées pour éviter ce type de répercussions, comme la mise en place de mots de passe administrateur robustes et uniques, ainsi que l'activation systématique de l'authentification à double facteur. Il est également crucial de restreindre l'accès aux interfaces d'administration en créant des listes blanches d'adresses IP autorisées, de désactiver les accès web non essentiels et de maintenir scrupuleusement à jour les firmwares et correctifs de sécurité des appareils.
07 février 2025 à 15h40
06 février 2025 à 09h45
Source : Bleeping Computer
