Les récentes tentatives de connexion non autorisées sur les portails VPN d’entreprises soulèvent de vives préoccupations. Une campagne de reconnaissance à grande échelle, visant des infrastructures clés comme GlobalProtect et SonicWall, a été détectée, soulignant l’importance cruciale d’une surveillance renforcée et de mesures de sécurité adaptées. Plongeons dans les détails de cette menace cybernétique.
L’essentiel à retenir
- Une recrudescence des tentatives de connexion a été observée sur les portails GlobalProtect de Palo Alto et les API SonicWall, impliquant plusieurs milliers d’adresses IP.
- L’infrastructure du fournisseur 3xK GmbH a été utilisée pour mener ces attaques, sans qu’aucune faille logicielle ne soit identifiée pour le moment.
- La campagne semble viser à cartographier les accès VPN exposés, mettant en lumière l’importance de l’authentification multifacteur et d’une surveillance continue.
Les détails des attaques VPN
Depuis début décembre, une augmentation significative des tentatives de connexion a été relevée par GreyNoise, une entreprise spécialisée dans la surveillance des cybermenaces. Ces attaques ciblent les portails VPN de GlobalProtect, une passerelle largement utilisée par les entreprises et administrations publiques. Les connexions suspectes proviennent de l’infrastructure de 3xK GmbH, un fournisseur d’hébergement allemand, indiquant une possible exploitation de ses serveurs pour orchestrer cette campagne de reconnaissance.
Les empreintes techniques observées dans ces incidents rappellent celles de précédentes attaques survenues entre septembre et octobre, où des millions de sessions HTTP avaient été enregistrées, sans indice d’activités malveillantes connues.
Évolution du ciblage des pare-feu SonicWall
Le 3 décembre, les mêmes signatures techniques ont été repérées lors de nouveaux scans dirigés cette fois vers les interfaces de gestion des pare-feu SonicWall. Ce changement de cible suggère une stratégie d’élargissement du périmètre d’attaque par les cybercriminels, passant d’un service à l’autre tout en conservant les mêmes méthodes.
Malgré l’absence de vulnérabilité immédiate, comme confirmé par Palo Alto, l’intensité et la persistance de ces attaques soulignent la nécessité d’une vigilance accrue pour protéger les accès exposés.
Stratégies de défense contre les cyberattaques
Pour contrer ces menaces, il est crucial pour les administrateurs de renforcer le contrôle des surfaces d’authentification de leurs systèmes. L’intégration de l’authentification multifacteur et l’utilisation de mots de passe robustes sont essentielles pour limiter l’efficacité des attaques basées sur l’exploitation d’identifiants compromis.
Un suivi régulier des tentatives de connexion répétées permet de détecter tôt les campagnes de reconnaissance, offrant ainsi une chance de réagir avant que les attaquants ne réussissent à exploiter les failles potentielles.
Contexte et historique de Palo Alto et SonicWall
Palo Alto Networks est une société de cybersécurité américaine fondée en 2005. Elle est reconnue pour ses solutions avancées de sécurité réseau, telles que les pare-feu de nouvelle génération et les plateformes de prévention des menaces. GlobalProtect, sa passerelle VPN, est utilisée dans le monde entier pour sécuriser les connexions à distance des entreprises.
SonicWall, créée en 1991, est une entreprise spécialisée dans la sécurité des réseaux et la protection des données. Elle propose des solutions telles que des pare-feu, des systèmes de prévention des intrusions et des services de sécurité basés sur le cloud. SonicWall est largement adopté par les entreprises cherchant à protéger leurs infrastructures numériques contre les menaces en ligne.