Ces dernières semaines, une série d’attaques informatiques ciblant les VPN d’entreprises a été détectée, mettant en lumière une stratégie de reconnaissance orchestrée par des cybercriminels. Ces attaques exploitent des infrastructures légitimes pour cartographier les accès VPN exposés, soulignant une fois de plus la nécessité d’une vigilance accrue dans la protection des réseaux d’entreprise.
Les 3 infos à ne pas manquer
- Depuis début décembre, une augmentation des tentatives de connexion a été observée sur les portails GlobalProtect de Palo Alto et les API SonicWall.
- Plus de sept mille adresses IP, issues de l’infrastructure de 3xK GmbH, ont été impliquées dans ces attaques.
- GreyNoise a identifié des signatures techniques récurrentes, suggérant une opération continue de cartographie des accès VPN et des pare-feu.
Les attaques sur les portails VPN
Au début de décembre, une hausse notable des tentatives de connexion a été observée sur les portails GlobalProtect, un service VPN largement utilisé dans les entreprises. Ces attaques provenaient principalement de l’infrastructure de 3xK GmbH, un fournisseur légitime dont certains serveurs ont été détournés pour mener cette opération coordonnée.
Bien que cela puisse sembler être un incident isolé, les analystes ont rapidement identifié un schéma récurrent, déjà observé entre septembre et octobre. Les mêmes signatures techniques ont été notées, malgré un changement complet d’infrastructure, indiquant un effort continu de reconnaissance par les cybercriminels.
Un ciblage élargi aux pare-feu SonicWall
Le 3 décembre, les attaques ont évolué pour cibler également les interfaces de gestion des pare-feu SonicWall. Les mêmes empreintes techniques ont été utilisées, renforçant l’hypothèse d’un seul acteur élargissant son champ d’action. Cette évolution souligne l’intérêt croissant des cybercriminels pour les dispositifs de sécurité en ligne.
Les attaques ne révèlent pas de vulnérabilités immédiates, mais elles mettent en lumière le rôle essentiel des VPN et des pare-feu dans la protection des réseaux. Cela nécessite une surveillance continue pour détecter les comportements anormaux et ajuster les politiques de sécurité en conséquence.
Recommandations pour renforcer la sécurité
Face à cette menace persistante, les administrateurs de réseaux sont encouragés à renforcer le contrôle des surfaces d’authentification de leurs VPN et pare-feu. L’implémentation de l’authentification multifacteur est fortement recommandée pour réduire l’efficacité des attaques basées sur des identifiants compromis.
En outre, l’utilisation de mots de passe uniques et solides peut prévenir l’exploitation de fuites d’identifiants. Un suivi attentif des tentatives répétées de connexion est crucial pour détecter précocement ce type de campagne et minimiser son impact potentiel.
Contexte et historique de Palo Alto et SonicWall
Palo Alto Networks est une entreprise américaine fondée en 2005, spécialisée dans la cybersécurité. Elle est connue pour ses solutions innovantes de protection des réseaux, notamment ses pare-feu et ses services VPN, qui sont largement adoptés dans le monde entier.
SonicWall, quant à elle, est une société qui a vu le jour en 1991 et s’est imposée comme un acteur majeur dans le domaine des solutions de sécurité informatique. Ses pare-feu et systèmes de prévention des intrusions sont utilisés par de nombreuses entreprises pour protéger leurs infrastructures numériques contre les menaces extérieures.