Les Etats-Unis, le Royaume-Uni et l’Australie ont épinglé le gouvernement Iranien pour avoir exploité des failles de sécurité de Fortinet et d’Exchange.
En effet, l’Agence américaine de cybersécurité et d’infrastructure (CISA) a émis une alerte la semaine du 20 novembre 2021 pour mettre en évidence les activités malveillantes d’un groupe de menaces persistantes avancées associé au gouvernement iranien.
Ces personnes tirent parti des vulnérabilités de Fortinet et Microsoft Exchange.
Fortinet est une multinationale américaine qui conçoit et commercialise, entre autres, des logiciels équipements et services de cybersécurité. Exchange est un serveur de messagerie électronique crée par Microsoft.
Dans leur communiqué d’alerte, les responsables de la CISA ont déclaré que :
« Le FBI et la CISA ont observé que ce groupe APT parrainé par le gouvernement iranien exploitait les vulnérabilités Fortinet depuis au moins mars 2021 et une vulnérabilité Microsoft Exchange ProxyShell depuis au moins octobre 2021 pour obtenir un accès initial aux systèmes avant les opérations de suivi, qui incluent le déploiement de ransomware »
Ces acteurs se concentrent sur l’exploitation de vulnérabilité connues pour l’accès. Après l’opération, ils essayaient ensuite de transformer ces accès en exfiltration de données, en attaque par ransomware ou en extorsion.
Ainsi, les autorités des États-Unis, du Royaume-Uni et de l’Australie ont demandé aux administrateurs de corriger immédiatement quatre vulnérabilités connues sous le nom de CVE-2021-34473, 2020-12812, 2019-5591 et 2018-13379.
L’exploitation de ces failles n’est pas nouvelle.
Par exemple, en avril, le FBI et le CISA ont émis des avertissements concernant les vulnérabilités des équipements de Fortinet.
Également en juin 2021, les acteurs ont exploité, Fortigate, une solution firewall de Fortinet, pour accéder à des réseaux associés à un hôpital pour enfants aux États-Unis.
Mike Wiacek, PDG et cofondateur de Stairwell a déclaré que « c’est un autre exemple qui donne à réfléchir de la menace des acteurs étatiques et pourquoi les approches traditionnelles de la cybersécurité doivent être réexaminées ».
En septembre, le site Bleeding Computer rapportait déjà qu’un ensemble de 500 000 identifiants de connexion liés au VPN (réseau privé virtuel) de Fortinet étaient compromis.