Vulnérabilités critiques du jour zéro

Avant que les attaquants n’installent une porte dérobée dans le système attaqué, ils doivent d’abord y pénétrer. La méthode la plus efficace pour atteindre cet objectif en 2024 était les vulnérabilités zero-day.

Plus tôt cette année, deux vulnérabilités Zero Day ont été découvertes dans les produits VPN d'Ivanti, nommées CVE-2023-46805 et CVE-2024-21887. Les vulnérabilités ont été exploitées par des pirates chinois tout au long de la chaîne d'attaque et ont permis l'exécution de code à distance. Cela a permis aux attaquants de voler des configurations, de modifier des fichiers et d'établir des tunnels SSH inversés. Les attaques visaient des organisations des secteurs de la santé et de l’industrie.

Voir aussi : Fuite de données d'Atende – l'entreprise n'a pas payé la rançon

Parallèlement, la vulnérabilité CVE-2024-47575 dans FortiManager (« authentification manquante pour une fonction critique ») a permis à des attaquants – éventuellement membres du groupe chinois Volt Typhoon – d'exécuter du code via des requêtes contrefaites. Aucun logiciel malveillant ni porte dérobée n'a été trouvé sur les systèmes concernés.

Enfin, ces derniers mois, le groupe lié à l'Iran APT34, également connu sous le nom d'OilRig et Earth Simnavaz, a mené une opération dans la région du golfe Persique en utilisant une vulnérabilité Windows appelée CVE-2024-30088. La vulnérabilité permettait une élévation non autorisée des privilèges. Cela a permis aux attaquants d'installer des portes dérobées et d'exfiltrer des données sensibles des serveurs Microsoft Exchange.

Le phishing est toujours efficace

S'il est nécessaire de recourir au « plan B », les cambrioleurs recourent volontiers et souvent à la fraude et à l'ingénierie sociale. Parmi les principales campagnes dans lesquelles le phishing était la principale méthode d'accès au réseau, citons l'opération de 2024 du groupe russe Midnight Blizzard (APT29), lié au service de renseignement étranger de la Fédération de Russie.

Selon Microsoft, le groupe a lancé une campagne de spear phishing ciblant des représentants de l'administration américaine, des universités locales, des entreprises du secteur de la défense et des organisations non gouvernementales. Depuis le 22 octobre, le groupe utilise des fichiers RDP signés avec des certificats Let's Encrypt, se faisant passer pour des emails d'employés de Microsoft. La tactique permettait de connecter l'appareil de la victime à un serveur contrôlé par des pirates informatiques, donnant accès à des ressources locales et un contrôle permanent.

Olivier
Olivier

Je suis Olivier, rédacteur technophile chez Digital Studio Web, passionné par le décodage des dernières innovations tech pour nos lecteurs. Avec une expertise en web et un œil sur le futur, je m'efforce de livrer des analyses précises et des nouveautés excitantes. Ma mission : partager les tendances qui redéfinissent notre quotidien numérique.

A lire également