Wind River VxWorks et URGENT/11 : Appliquez le correctif maintenant

Avis: Les pare-feu physiques SonicWall utilisant certaines versions de SonicOS utilisent un code TCP/IP tiers pour la gestion à distance qui contient des vulnérabilités appelées URGENT/11. À l’heure actuelle, rien n’indique que les vulnérabilités découvertes soient exploitées à l’état sauvage, cependant :

SonicWall recommande FORTEMENT d’appliquer immédiatement le correctif SonicOS. Les correctifs sont disponibles pour toutes les versions récentes de SonicOS. Des instructions détaillées sont fournies dans le document Conseil de sécurité.

SonicWall fournit gratuitement les versions corrigées de SonicOS, y compris pour les clients qui ne sont pas actuellement couverts par un contrat d’assistance actif. SonicWall recommande également la mise à jour à la dernière version de SonicOS (6.5.4.4), qui offre des capacités de pare-feu pour aider à protéger d’autres appareils vulnérables à l’URGENT/11.


Vulnérabilités Wind River VxWorks et URGENT/11

Les chercheurs en sécurité d’Armis ont découvert et divulgué de manière responsable 11 vulnérabilités dans la pile TCP/IP du système d’exploitation en temps réel VxWorks de Wind River, qui est utilisé par des millions d’appareils à travers le monde, ainsi que dans l’espace, sur Mars, et dans certaines versions de SonicOS. La pile TCP/IP VxWorks Wind River, appelée IPNET, contient des vulnérabilités qui ont été baptisées « URGENT/11 ». Le type de vulnérabilité de matériel ayant affecté SonicOS est pris en charge par les versions du correctif.

Impossible à gérer et à corriger : le Far West de l’IdO

Wind River VxWorks est un système d’exploitation en temps réel largement utilisé dans l’IdO et les applications embarquées, comme les réseaux, les télécommunications, l’automobile, la santé, l’industrie, l’électronique grand public, l’aérospatial et au-delà.

Alors que les pare-feu visent à protéger les périmètres des entreprises, ils sont gérés et surveillés activement, souvent depuis un emplacement central. Pour chaque pare-feu, il y a une personne qui se réveille chaque matin en se demandant : « Mon pare-feu fonctionne-t-il ? Est-il à jour ? » Dans les jours qui suivent la publication d’une mise à jour, ces personnes programment une fenêtre de maintenance et comblent les failles de sécurité.

Cependant, pour la plus grande majorité des autres appareils connectés ou exposés à Internet, ces personnes n’existent pas, et le nombre d’appareils de l’« IdO » est clairement plus important que celui des pare-feu. C’est cette multitude d’appareils connectés qui ne sont pas gérés ou réparés activement qui présente un risque de type iceberg pour Internet. Des vulnérabilités finissent par être découvertes, même sur les meilleurs logiciels, et la sécurité d’Internet et de l’écosystème en ligne repose sur la capacité à diffuser et à déployer les correctifs.

Dans la mise à jour semestrielle du Rapport sur les cybermenaces de SonicWall – 2019, les chercheurs des Capture Labs de SonicWall ont déjà enregistré 13,5 millions d’attaques sur l’IdO, soit 54,6 % de plus que les deux premiers trimestres de 2018.

Cette réalité s’impose chez les spécialistes de la sécurité, mais aussi chez les régulateurs gouvernementaux, car des centaines de millions d’appareils connectés à Internet sont jugés vulnérables et ne sont pas corrigés.

C’est l’un des aspects sous-jacents risqués d’Internet, mené par l’explosion des appareils d’IdO, y compris des appareils de bonne qualité pour le grand public qui sont fréquemment déployés à la pointe de l’Internet et oubliés pendant une décennie. La portée élargie de l’IdO devrait se propager à travers plusieurs secteurs et agir comme une prise de conscience.

« N’arrêtez jamais d’appliquer des correctifs »

L’armement des vulnérabilités publiées par rapport aux anciens logiciels sert de rappel important pour que les clients ne retardent jamais les mises à jour logicielles, qui sont l’une des mesures les plus importantes que vous puissiez prendre pour sécuriser votre infrastructure face à l’évolution rapide du paysage des menaces.

Ne les ignorez pas et ne les retardez pas. Appliquez le correctif maintenant. Et n’arrêtez jamais d’appliquer des correctifs.

Les ports non standard sont la cible de cyberattaques

Si vous aimez regarder des films de super-héros, vous avez sûrement déjà entendu les personnages parler à un moment donné de la protection de leur identité par l’anonymat. À l’exception d’Iron Man, la dissimulation de leur véritable identité fournit aux super-héros une forme de protection. À cet égard, la sécurité réseau est similaire.

L’expression « la sécurité par l’obscurité » reçoit autant de louanges que de critiques. Si vous conduisez votre véhicule dans des petites rues plutôt que sur l’autoroute pour éviter des accidents potentiels, êtes-vous davantage protégé(e) ? Pouvez-vous vous rendre à votre destination aussi efficacement ? C’est possible, mais cela ne signifie pas pour autant que vous échapperez à tout jamais aux accidents.

La différence entre les ports standard et non standard

Les ports des pare-feu sont attribués par l’Internet Assigned Numbers Authority (IANA) à des fins particulières ou pour livrer des services spécifiques.

Alors que l’on compte plus de 40 000 ports enregistrés, seule une poignée est couramment utilisée. Il s’agit des ports « standard ». Par exemple, HTTP (pages Internet) utilise le port 80, HTTPS (sites Internet qui utilisent un chiffrement) utilise le port 443 et SMTP (messagerie électronique) utilise le port 25.

Les pare-feu configurés pour écouter sur ces ports sont disponibles pour recevoir du trafic. Les cybercriminels le savent également, aussi la plupart de leurs attaques ciblent les ports couramment utilisés. Bien sûr, les entreprises renforcent généralement ces ports contre les menaces.

En réponse au déferlement d’attaques ciblant les ports standard, certaines entreprises se sont tournées vers l’utilisation de ports « non standard » pour leurs services. Un port non standard est un port qui est utilisé pour un but autre que son attribution par défaut. L’utilisation du port 8080 au lieu du port 80 pour le trafic Web en est un exemple.

Il s’agit de la stratégie de la « sécurité par l’obscurité ». Même si cela peut perturber un temps les cybercriminels, ce n’est pas une solution de sécurité à long terme. Cela peut également compliquer la connexion au serveur Web pour les utilisateurs car leur navigateur est pré-configuré pour utiliser le port 80.

Attaques sur des ports non standard

D’après les données du rapport 2019 sur les cybermenaces de SonicWall, le nombre d’attaques dirigées vers des ports non standard a augmenté. En 2017, SonicWall a découvert que plus de 17,7 % des attaques par programmes malveillants étaient passées par des ports non standard.

En comparaison, ce nombre était de 19,2 % en 2018, soit une augmentation de 8,7 %. Rien qu’en décembre 2018, on dénombrait un nombre encore plus élevé culminant à 23 %.

Comment protéger des ports non standard ?

La meilleure défense contre les cyberattaques ciblant les services sur les ports standard et non standard est d’avoir une stratégie de sécurité multicouche.

L’utilisation de la « sécurité par l’obscurité » constitue une seule couche. Le fait de s’y fier excessivement, cependant, ne fournit pas le niveau de sécurité dont vous avez besoin. Cela peut contribuer à la protection contre l’analyse des ports, mais n’empêchera pas les cyberattaques qui sont plus ciblées.

Vous souhaiterez sûrement prendre des mesures supplémentaires, comme modifier fréquemment vos mots de passe, utiliser l’authentification multifacteur et appliquer des correctifs et des mises à jour. Et vous souhaiterez peut-être utiliser un pare-feu qui peut analyser des artefacts spécifiques plutôt que l’ensemble du trafic (c.-à-d. approche basée sur les proxys).

L’apocalypse du cryptojacking : comment vaincre les Quatre Cavaliers du cryptominage

Malgré les fluctuations de prix des bitcoins et des autres cryptomonnaies, le cryptojacking reste une menace réelle, et souvent dissimulée, pour les entreprises, les PME et les consommateurs de tous les jours.

Et la plus secrète de ces menaces est le cryptominage via le navigateur, où des formes populaires de programmes malveillants essaient de transformer votre appareil en un robot de minage de cryptomonnaie à temps plein appelé cryptojacker.

Pour vous aider à comprendre de manière créative cette tendance, laissez-moi faire appel à mes classiques et mettre en scène une allégorie. Si vous imaginez la vague de cryptojacking comme une apocalypse, comme le font certaines victimes, les Quatre Cavaliers seraient les quatre menaces pesant sur vos terminaux ou votre entreprise :

  • Le cheval blanc : L’énergie qu’il consomme ou gaspille
  • Le cheval rouge : La perte de productivité due à ses ressources limitées
  • Le cheval noir : Les dommages qu’il peut faire à un système
  • Le cheval pâle : Les implications pour la sécurité dues aux vulnérabilités créées

Contrairement aux ransomwares qui veulent être trouvés (pour exiger un paiement), le travail d’un cryptojacker est de s’exécuter en arrière-plan sans se faire voir (même si le graphique des performances de votre processeur ou le ventilateur de votre appareil indique qu’il y a quelque chose d’anormal).

Les auteurs de ransomwares ont changé leurs méthodes ces deux dernières années et ont désormais davantage recours au cryptojacking, car l’efficacité de la pression d’un ransomware et le retour sur investissement diminuent dès qu’il fait son apparition sur les flux publics, comme VirusTotal.

À l’instar d’un gérant d’une entreprise très rentable, les cybercriminels doivent constamment trouver de nouvelles manières d’atteindre leurs objectifs financiers. C’est là qu’entre en scène le cryptojacking.

En avril 2018, SonicWall a commencé à suivre les tendances de cryptojacking, à savoir l’utilisation de Coinhive dans les logiciels malveillants. Au cours de l’année, nous avons observé les variations du cryptojacking. À ce moment-là, SonicWall a enregistré près de 60 millions d’attaques de cryptojacking, avec pas moins de 13,1 millions en septembre 2018. Comme publié dans le Rapport 2019 sur les cybermenaces de SonicWall, le volume a chuté dans le dernier trimestre 2018.

Attaques internationales de cryptojacking | Avril à septembre 2018

L’attrait du cryptominage

Les opérations de cryptominage sont de plus en plus populaires, consommant désormais près de la moitié d’un pourcentage de la consommation d’électricité dans le monde. Malgré les fortes variations de prix, la consommation d’énergie représente près de 60 % du coût du minage légitime du bitcoin. En fait, au moment où j’écris cet article, le prix d’un bitcoin vaut moins que le coût de son minage légitime.

Étant donné ces coûts et le risque zéro par rapport à l’achat et l’entretien d’équipement, les cybercriminels ont compris qu’ils avaient tout intérêt à générer une cryptomonnaie avec les ressources de quelqu’un d’autre. Le fait d’infecter 10 machines avec un robot de cryptominage pourrait rapporter 100 $/jour net ; reste alors pour les cryptojackers à procéder en trois points :

  1. Trouver des cibles, c’est-à-dire des organisations avec beaucoup d’appareils sur le même réseau, surtout des écoles ou des universités.
  2. Infecter autant de machines que possible.
  3. Rester cachés le plus longtemps possible (à l’instar des logiciels malveillants traditionnels, mais contrairement aux ransomwares).

Les cryptojackers utilisent des techniques similaires à celles des programmes malveillants pour atteindre un terminal : des téléchargements à la dérobée (drive-by downloads), des campagnes de phishing, des vulnérabilités au sein des navigateurs et des plugins des navigateurs, pour n’en nommer que certaines. Et bien sûr, ils comptent sur le maillon le plus faible, à savoir l’homme, via des techniques d’ingénierie sociale.

Suis-je infecté(e) par des cryptomineurs ?

Les cryptomineurs sont intéressés par votre puissance de traitement et les cryptojackers doivent faire preuve de discrétion pour engranger des profits. La quantité de ressources de votre processeur qu’ils prennent dépend de leurs objectifs.

S’ils prennent moins de puissance, il est plus difficile pour les utilisateurs non suspicieux de les remarquer. Au contraire, s’ils volent plus, ils augmentent leurs profits. Dans les deux cas, il y aura un impact sur la performance, mais si le seuil est suffisamment faible, il peut être difficile de distinguer un mineur d’un logiciel légitime.

Les administrateurs d’entreprise peuvent chercher des processus inconnus dans leur environnement et les utilisateurs finaux de Windows peuvent utiliser Process Explorer de Sysinternals pour voir les logiciels en cours d’exécution. Pour la même raison, les utilisateurs de Linux et de macOS doivent enquêter en utilisant respectivement « System Monitor » et « Activity Monitor ».

Comment se défendre contre des cryptomineurs

La première étape pour se défendre contre des cryptomineurs est d’arrêter ce type de programmes malveillants à la passerelle, que ce soit par les pare-feu ou la sécurité de la messagerie (sécurité du périmètre), qui est l’une des meilleures méthodes pour se débarrasser de menaces connues sur fichiers.

Comme en général, tout le monde aime réutiliser un ancien code, attraper des cryptojackers comme Coinhive constituait aussi une première étape simple. Mais en février 2019, Coinhive a publiquement annoncé qu’ils arrêtaient leurs opérations le 8 mars. Le service a indiqué qu’il n’était « plus économiquement viable » et que la « faillite » a eu un impact très important sur l’entreprise.

Malgré cette annonce, SonicWall prédit une hausse des nouvelles variantes et techniques de cryptojacking pour remplir ce vide. Le cryptojacking peut tout de même devenir une méthode préférée des acteurs malveillants à cause de sa dissimulation ; les dommages peu importants et indirects aux victimes réduisent les risques d’exposition et prolongent la durée de vie précieuse d’une attaque réussie.

Si la souche du programme malveillant est inconnue (nouvelle ou mise à jour), alors il contournera les filtres statiques dans la sécurité du périmètre. Si un fichier est inconnu, il sera acheminé vers un sandbox pour inspecter la nature du fichier.

L’environnement de la technologie sandbox multimoteur Capture Advanced Threat Protection (ATP) de SonicWall est conçu pour identifier et arrêter les programmes malveillants évasifs susceptibles d’échapper à un moteur, mais pas aux autres.

Si vous avez un terminal qui ne se trouve pas derrière cette configuration typique (par ex., terminal itinérant dans un aéroport ou un hôtel), vous devez déployer un produit de sécurité des terminaux comprenant une détection comportementale.

Les cryptomineurs peuvent agir dans le navigateur ou accéder via une attaque sans fichier, aussi les solutions traditionnelles dont vous disposez gratuitement avec un ordinateur ne les détectent pas.

Un antivirus comportemental comme SonicWall Capture Client détecterait que le système cherche à miner des « coins » puis couperait son exécution. Un administrateur peut facilement mettre en quarantaine et supprimer le programme malveillant ou, en cas de dommages aux fichiers système, restaurer le système au dernier état sain connu avant l’exécution du programme malveillant.

En combinant un mélange de défenses de périmètre et d’analyse comportementale, les organisations peuvent lutter contre les toutes nouvelles formes de programmes malveillants, quelle que soit la tendance ou l’intention.

Rapport 2019 SonicWall sur les cybermenaces: les menaces qui ciblent les entreprises, les gouvernements et les PME démasquées

Le lancement du Rapport annuel SonicWall sur les cybermenaces nous rappelle toujours pourquoi nous sommes en activité.

Nos ingénieurs et spécialistes des menaces consacrent des mois au projet afin de faire la lumière sur la manière dont les personnes, les commerces et les entreprises en ligne sont affectés par la cybercriminalité.

Leurs conclusions sont édifiantes. Les cyberattaques sont en hausse de manière générale. Les cybercriminels ne montrent aucun signe de fléchissement. Les pirates informatiques et les groupes aux intentions pernicieuses développent des attaques plus nombreuses, de plus en plus sophistiquées. Le Rapport 2019 SonicWall sur les cybermenaces donne un aperçu de comment ils le font et à quelle échelle.

Pour comprendre la course au cyber-armement en constante et rapide évolution, téléchargez gratuitement le Rapport 2019 SonicWall sur les cybermenaces . L’unification, l’analyse et la visualisation des cybermenaces vous permettront, à vous et à votre entreprise, d’y faire face avec plus d’autorité, de détermination et de véracité que jamais. Voyons ce que comprend ce rapport.

Le volume de logiciels malveillants est toujours en augmentation

En 2016, le secteur a connu un déclin du volume de logiciels malveillants. Depuis, les attaques de logiciels malveillants ont augmenté de 33,4 %. Sur un plan international, SonicWall a enregistré 10,52 milliards d’attaques de logiciels malveillants en 2018, le nombre le plus important encore jamais enregistré par l’entreprise.

Le Royaume-Uni et l’Inde s’aguerrissent face aux attaques de type ransomware

Les spécialistes des menaces des Capture Labs de SonicWall ont découvert que les attaques de type ransomware étaient en hausse dans presque toutes les régions géographiques, sauf deux : le Royaume-Uni et l’Inde. Le rapport explique brièvement quelles régions et quelles villes ont connu une modification du volume de ransomware, et celles sur lesquelles ce changement a eu le plus d’impact.

Des menaces dangereuses pour la mémoire et des attaques par canal auxiliaire identifiées précocement

Le rapport explore comment la technologie SonicWall Real-Time Deep Memory InspectionTM (RTDMI) atténue les attaques dangereuses par canal auxiliaire à l’aide d’une technologie en attente de brevet. Les canaux auxiliaires constituent le vecteur fondamental utilisé pour exploiter et extraire les données sur les vulnérabilités des processeurs, comme Foreshadow, PortSmash, Meltdown, Spectre et Spoiler.

Les fichiers PDF et Microsoft Office malveillants ont le dessus sur les contrôles de sécurité existants

Les cybercriminels transforment les fichiers PDF et documents Office en armes pour aider les logiciels malveillants à contourner les pare-feu traditionnels et même certaines défenses actuelles du réseau. SonicWall expose comment ce changement affecte l’application traditionnelle des logiciels malveillants.

Attaques contre les ports non standard

Les ports 80 et 443 sont des ports standard pour le trafic web, c’est pourquoi de nombreux pare-feu y concentrent leur protection. En réponse, les cybercriminels ciblent une gamme de ports non standard pour s’assurer que leur charge utile peut être déployée sans être détectée dans un environnement cible. Le problème? Les entreprises ne protègent pas ce vecteur, laissant ainsi passer des millions d’attaques.

Escalade des attaques sur l’IdO

Il existe une myriade d’appareils compatibles avec l’Internet des Objets (IdO) hâtivement commercialisés, sans contrôles de sécurité appropriés. En fait, SonicWall a noté une augmentation de 217,5 % du nombre d’attaques sur l’IdO par rapport à l’année précédente.

Progression constante des attaques chiffrées

La croissance du trafic chiffré coïncide avec la multiplication des attaques dissimulées par un chiffrement TLS/SSL. Plus de 2,8 millions d’attaques ont été chiffrées en 2018, soit une hausse de 27 % par rapport à 2017.

Grandeur et décadence du cryptojacking

En 2018, le cryptojacking a disparu presque aussi vite qu’il n’était apparu. SonicWall a enregistré des dizaines de millions d’attaques de cryptojacking dans le monde entre avril et décembre. Le volume a atteint un pic en septembre, mais est en baisse constante depuis. Le cryptojacking était-il une mode, ou cela va-t-il continuer?

Alors que les entreprises s’efforcent de bloquer les attaques par e-mail et de s’assurer que les employés peuvent repérer et supprimer les e-mails suspects, les pirates informatiques changent de tactique. Ils réduisent le volume général d’attaques et lancent des campagnes de phishing plus ciblées. En 2018, SonicWall a enregistré 26 millions d’attaques de phishing dans le monde, soit une baisse de 4,1 % par rapport à 2017.

Slide Anything shortcode error: A valid ID has not been provided

Capture Client 2.0 adopte une solution avancée en détection et réponse aux endpoints (Endpoint Detection & Response, EDR)

La protection des endpoints a évolué bien au-delà de la simple surveillance antivirus (AV). Les endpoints actuels nécessitent des enquêtes et des mesures de réduction uniformes et proactives vis-à-vis des fichiers ou des comportements suspects détectés sur les endpoints.

Avec la sortie de Capture Client 2.0 de SonicWall, les organisations accèdent à un contrôle actif de l’état des endpoints grâce aux capacités de pointe de la solution avancée Advanced Endpoint Detection & Response (EDR).

Une fois les capacités d’EDR en place, Capture Client de SonicWall permet aux administrateurs de déterminer les origines et les destinations prévues des menaces, de neutraliser ou de mettre en quarantaine les endpoints, si nécessaire, et de faire remonter les endpoints jusqu’à leur dernier état connu de bonne santé en cas d’infection ou de compromission.

Capture Client permet également aux organisations de réduire l’effet des programmes malveillants et de nettoyer les endpoints sans avoir besoin de les mettre manuellement hors ligne pour effectuer une recherche d’indices probants et/ou pour réinstaller l’appareil – comme cela est généralement nécessaire avec les anciennes solutions antivirus.

Protéger les endpoints des accidents provoqués par les employés avec Web Threat Protection

Depuis des années, les options de filtrage de contenu de SonicWall ont été utilisées par les écoles, les petites et moyennes entreprises et les grandes entreprises pour mettre à l’abri les personnes de contenus malveillants sur Internet (par ex., les sites de phishing) ou les sites qui anéantissent la productivité (par ex., les médias sociaux), ainsi que pour gérer la bande passante à destination d’une application.

Une partie de cette technologie, appelée Web Threat Protection, se trouve désormais dans Capture Client 2.0. Cette fonctionnalité a recours au filtrage de contenu pour bloquer l’accès à des millions d’URL, domaines et adresses IP malveillants connus. Cela permet de prévenir les attaques du courrier électronique par phishing, les téléchargements malveillants (par ex.. les ransomwares) ou autres menaces en ligne.

Web Threat Protection offre aux administrateurs une autre couche de sécurité et permet de se passer du nettoyage des infections et/ou de la nécessité de « remettre » le PC dans son dernier état connu de bonne santé.

Réduisez la superficie de la zone d’attaque possible avec Endpoint Device Control

Saviez-vous que, lors d’une récente expérience sociale réalisée par Google,, il s’est avéré que 45 % des clés USB « perdues » avaient été connectées à des appareils par les personnes qui les avaient trouvées ?

Laisser traîner des clés USB infectées dans un espace de travail (p. ex., à la cafétéria, dans les parkings ou le hall d’entrée de la société) a toujours été considéré comme un stratagème d’attaque très efficace contre les entreprises. En fait, de nombreux points de vente au détail ont des systèmes de point de vente (PDV) dotés de ports USB exposés qui facilitent l’infection des réseaux à partir de multiples sites.

Pour mieux empêcher les dispositifs infectés comme les clés USB de se connecter à des endpoints, la fonctionnalité Device Control de Capture Client est capable de bloquer les dispositifs inconnus ou suspects. Les administrateurs ont la possibilité de bloquer l’accès aux endpoints inconnus jusqu’à ce qu’ils soient validés ou d’inscrire les dispositifs inoffensifs, comme les imprimantes et les supports de stockage amovibles, sur une liste de confiance afin de réduire la surface exposée aux menaces.

La licence Endpoint Protection est un progrès pour les partenaires et les clients

SonicWall ne s’est pas seulement contentée d’améliorer la stabilité et la fonctionnalité du client. Nous avons également passé l’année dernière à travailler avec un réseau mondial de partenaires et de clients à créer de meilleures pratiques derrière le client.

En raison d’une augmentation de la demande, nous avons le plaisir d’annoncer que nos UGS de conversion de la concurrence deviendront un programme permanent mis à la disposition des partenaires de SonicWall à toutes fins utiles. Cela permettra aux clients de bénéficier de trois ans de couverture pour le prix de deux lorsqu’ils abandonnent un produit concurrent.

SonicWall supprime également les UGS groupées que l’on commandait auparavant (et qui sont toujours prises en charge) en faveur des UGS empilées qui seront introduites en mars 2019. Ce mode d’empilement à la commande permet à un partenaire de commander, moyennant une remise appropriée, le nombre exact de licences nécessaires pour son volume. Ces empilements débutent à cinq postes et offrent huit tranches de remises de volume allant jusqu’à 10 000 postes ou plus.

Dossier technique : éradiquer l’impact des ransomwares

Capture Client Advanced permet une restauration rapide et automatisée sans avoir à procéder manuellement à partir des sauvegardes ou créer de nouvelles images du système. Téléchargez le dossier technique complet pour découvrir comment la fonctionnalité de retour en arrière de Capture Client permet d’optimiser la continuité de l’activité, de réduire l’impact financier, et de raccourcir le délai moyen de réparation.