Les chercheurs de Censys ont découvert des centaines d’appareils exposés à Internet sur les réseaux des agences fédérales américaines qui doivent être sécurisés conformément à une directive opérationnelle contraignante CISA récemment publiée.
Une analyse des surfaces d’attaque de plus de 50 organisations du Federal Civilian Executive Branch (FCEB) a conduit à la découverte de plus de 13 000 hôtes individuels exposés à l’accès à Internet, répartis sur plus de 100 systèmes liés aux agences FCEB.
Parmi ceux-ci, plus de 1 300 hôtes exposés à Internet sont accessibles via des adresses IPv4, dont des centaines permettant l’accès aux interfaces de gestion de divers appareils réseau.
« Nous avons découvert près de 250 instances d’interfaces Web pour les hôtes exposant des appliances réseau, dont beaucoup exécutaient des protocoles distants tels que SSH et TELNET », a déclaré Censys.
« Plus de 15 instances de protocoles d’accès à distance exposés tels que FTP, SMB, NetBIOS et SNMP ont également été trouvées en cours d’exécution sur des hôtes liés à FCEB. »
Censys a également découvert plusieurs serveurs hébergeant les plates-formes de transfert de fichiers gérées MOVEit, GoAnywhere MFT et SolarWinds Serv-U, des vecteurs d’attaque connus dans les attaques de vol de données.
En outre, ils ont identifié plus de dix hôtes avec des listes de répertoires exposées, posant un risque de fuite de données, ainsi que des appliances Barracuda Email Security Gateway qui ont récemment été ciblées par des attaques de type « zero-day ».
150 autres instances de serveurs avec des logiciels Microsoft IIS, OpenSSL et Exim en fin de vie ont également été repérées par Censys, augmentant considérablement la surface d’attaque en raison du manque de mises à jour de sécurité.
Ordre de sécurisation des périphériques réseau exposés à Internet
Toutes les interfaces de gestion exposées à Internet trouvées par Censys sur les réseaux des agences fédérales américaines doivent être sécurisées conformément à la directive opérationnelle contraignante 23-02 de la CISA dans les 14 jours suivant leur identification.
La CISA a également annoncé qu’elle recherchera les appareils et les interfaces qui relèvent du champ d’application de la directive et informera les agences de ses conclusions.
Pour faciliter le processus de remédiation, la CISA offrira également une expertise technique aux agences fédérales sur demande, assurant un examen approfondi des dispositifs spécifiques et fournissant des conseils sur la mise en œuvre de mesures de sécurité robustes.
Cette approche proactive de la CISA vise à améliorer la posture globale de cybersécurité des agences fédérales et à protéger les infrastructures critiques.
En mars, l’agence de cybersécurité a également annoncé qu’elle avertirait les organisations d’infrastructures critiques des appareils vulnérables aux ransomwares sur leur réseau pour les aider à bloquer les attaques de ransomwares dans le cadre d’un nouveau programme Ransomware Vulnerability Warning Pilot (RVWP).
« Ces appareils exposés à Internet sont depuis longtemps le fruit à portée de main des acteurs de la menace pour obtenir un accès non autorisé à des actifs importants, et il est encourageant que le gouvernement fédéral prenne cette mesure pour améliorer de manière proactive leur posture de sécurité globale et celles de leurs systèmes adjacents, » a déclaré Censys.