ClickCease Alerte : Les failles du logiciel F5 de Connectwise utilisées pour pénétrer dans les réseaux

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Alerte : Les failles du logiciel F5 de Connectwise utilisées pour pénétrer dans les réseaux

Wajahat Raja

Le 2 avril 2024 - L'équipe d'experts de TuxCare

Rapports d'actualité Des rapports d'actualité ont indiqué qu'un pirate informatique prétendument lié à la Chine a été impliqué dans l'exploitation de deux vulnérabilités populaires. L'objectif de ces exploits est de cibler les entreprises de défense américaines et d'autres entités et institutions gouvernementales en Asie et au Royaume-Uni. Selon ces rapports, les chercheurs pensent que le pirate est soutenu par l'État. Dans cet article, nous décrirons les attaques et la façon dont les failles du logiciel F5 sont exploitées. les failles du logiciel Connectwise F5 ont été exploitées.

Commençons !

 

UNC5174 et les failles logicielles de Connectwise F5


Mandiant, une société de sécurité appartenant à Google, a publié un
rapport fournissant des informations sur le pirate informatique qui aurait été soutenu par l'État. Les rapports mentionnent qu'un acteur de la menace appelé UNC5174 pourrait être à l'origine de la faille du logiciel F5 de Connectwise. failles du logiciel Connectwise F5 exploitées. En outre, les chercheurs de Mandiant pensent également que le pirate agit pour le compte du ministère chinois de la sécurité de l'État.

Un extrait du rapport commentant les activités récentes d'UNC5174 se lit comme suit : "En février 2024, UNC5174 a été observé en train d'exploiter la vulnérabilité ConnectWise ScreenConnect (CVE-2024-1709) pour compromettre des centaines d'institutions, principalement aux États-Unis et au Canada."

Connect a également mis en garde ses clients contre CVE-2024-1709 en février. À l'époque, l'organisation avait confirmé que plusieurs de ses clients avaient été victimes des failles du logiciel F5 de Connectwise. des failles du logiciel F5 de Connectwise. Les chercheurs ont également trouvé UNC5174 exploitant CVE-2023-46747. Ces exploits ciblaient le logiciel F5 BIG-IP. Le rapport indique également que l'utilisation d'outils personnalisés propres à UNC5174 était évidente dans les deux exploits.


Vulnérabilité de Connectwise F5 et espionnage chinois 


Les chercheurs de Mandiant ont déclaré que les attaques laissent entrevoir la possibilité d'un espionnage chinois. Un extrait fournit des informations supplémentaires :
"Les acteurs chinois continuent de mener des recherches sur les vulnérabilités des appareils de périphérie largement déployés tels que F5 BIG-IP et ScreenConnect afin de permettre des opérations d'espionnage à grande échelle. Ces opérations comprennent souvent l'exploitation rapide de vulnérabilités récemment divulguées à l'aide d'exploits personnalisés ou de preuves de concept accessibles au public."

Compte tenu de la séquence d'attaques des récentes failles logicielles failles du logiciel Connectwise F5 exploitées, on peut affirmer que les acteurs de la menace suivent de près le modèle mentionné dans le rapport. En outre, leurs opérations peuvent donner un aperçu du système de courtier d'accès initial que le MSS utilise pour cibler les organisations mondiales. À l'heure actuelle, les experts pensent que UNC5174 continuera à représenter une menace pour les ONG, les institutions académiques et les organismes gouvernementaux.


Détails de l'exploitation des failles logicielles de Connectwise F5 


Une fois que l'acteur de la menace a pris pied, il commence à analyser le système connecté à Internet à la recherche de vulnérabilités exploitables. UNC5174 crée également des comptes administratifs qui facilitent l'exécution d'intentions malveillantes, étant donné que les comptes disposent de privilèges élevés. En outre, l'acteur de la menace dépose un téléchargeur ELF basé sur le langage C, appelé SNOWLIGHT. 

Le téléchargeur est conçu pour livrer la charge utile suivante, appelée GOREVERSE, qu'il acquiert à partir d'une URL distante et communique avec la SUPERSHELL. En ce qui concerne l'exploitation des failles du logiciel failles du logiciel Connectwise F5 Connectwise, GOREVERESE et SUPERSHELL permettent aux acteurs de la menace de créer un entonnoir SSH inversé.

Cet entonnoir est ensuite utilisé pour lancer des sessions shell, ce qui facilite l'exécution de codes arbitraires. l'exécution de code arbitraire. Lorsqu'il s'agit d'exploiter la faille du logiciel Connectwise F5, les acteurs de la menace utilisent également un outil de tunneling supplémentaire basé sur Goland, appelé GOHEAVY. Cet outil est probablement utilisé pour faciliter les mouvements latéraux au sein du réseau, ce qui permet aux acteurs de la menace d'étendre leur surface d'attaque.

Des rapports récents ont mis en lumière un cas intéressant où des acteurs de la menace ont participé à l'application du correctif CVE-2023-46747. Selon les rapports, le motif de ce correctif est d'empêcher d'autres personnes d'exploiter la même faille. Il convient de mentionner ici que UNC5174 est lié à divers groupes d'acteurs de la menace et qu'il les aurait quittés au milieu de l'année 2023.

En outre, l'acteur de la menace se concentre désormais sur l'exécution d'opérations d'accès et sur le courtage d'accès à des environnements compromis. Compte tenu de ce qui précède, il est possible de conclure que, dans le cas des failles logicielles F5 de failles logicielles Connectwise F5 l'acteur de la menace agit à nouveau comme un courtier d'accès avec le soutien du MSS.


Conclusion 


UNC5174, prétendument soutenu par la Chine, a été observé en train d'exploiter les failles du logiciel Connectwise F5.
failles du logiciel Connectwise F5 à l'aide d'outils personnalisés. Selon des rapports récents, les entreprises de défense américaines et d'autres entités et institutions gouvernementales en Asie et au Royaume-Uni seraient les principales cibles de ces attaques.

Les exploits sont très graves, étant donné que l'acteur de la menace peut combler les failles, négocier l'accès, effectuer des mouvements latéraux et étendre la surface d'attaque. Compte tenu de la gravité des attaques, le déploiement de mesures de cybersécurité robustes est désormais essentiel pour protéger les systèmes organisationnels et atténuer les risques liés au logiciel Connectwise F5.

Les sources de cet article comprennent des articles dans The Hacker News et The Record.

Résumé
Alerte : Les failles du logiciel F5 de Connectwise utilisées pour pénétrer dans les réseaux
Nom de l'article
Alerte : Les failles du logiciel F5 de Connectwise utilisées pour pénétrer dans les réseaux
Description
Des acteurs de la menace ont été observés en train d'exploiter les failles Connectwise F5 à l'aide d'outils personnalisés. Apprenez-en plus sur les attaques et protégez vos systèmes.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information