Nominet, le registre officiel des domaines .UK et l’un des plus grands registres de codes de pays, a confirmé que son réseau avait été piraté il y a deux semaines à l’aide d’une vulnérabilité zero-day d’Ivanti VPN.
La société gère et exploite plus de 11 millions de .uk, .co.uk, et les noms de domaine .gov .uk et autres domaines de premier niveau, y compris .cymru et .pays de Galles.
Il a également géré le Service de protection des noms de domaine (PDNS) du Royaume-Uni pour le compte du Centre national de cybersécurité (NCSC) du pays jusqu’en septembre 2024, protégeant plus de 1 200 organisations et plus de 7 millions d’utilisateurs finaux.
Nominet enquête toujours sur l’incident mais n’a trouvé aucune preuve de portes dérobées déployées sur ses systèmes, comme le premier rapport d’ISPreview.
Depuis qu’elle a détecté une activité suspecte sur son réseau, l’entreprise a signalé l’attaque aux autorités compétentes, y compris le NCSC, et restreint l’accès à ses systèmes via des connexions VPN.
« Le point d’entrée était via un logiciel VPN tiers fourni par Ivanti qui permet à nos employés d’accéder aux systèmes à distance », explique Nominet dans un avis client partagé avec Breachtrace .
« Cependant, nous n’avons actuellement aucune preuve de violation ou de fuite de données. Nous utilisons déjà des protocoles d’accès restreint et des pare-feu pour protéger nos systèmes de registre. Les systèmes d’enregistrement et de gestion des domaines continuent de fonctionner normalement. »
Attaques liées à des pirates informatiques chinois présumés
Bien que la société n’ait pas partagé plus d’informations sur le VPN zero-day utilisé dans l’attaque, Ivanti a déclaré la semaine dernière que des pirates informatiques exploitaient une vulnérabilité zero-day critique d’Ivanti Connect Secure (CVE-2025-0282) pour violer un nombre limité d’appliances de clients.
Selon la société de cybersécurité Mandiant (qui fait partie de Google Cloud), les attaquants ont commencé à exploiter cette vulnérabilité à la mi-décembre, en utilisant la boîte à outils personnalisée Spawn malware (liée à un groupe d’espionnage présumé lié à la Chine suivi sous le nom UNC5337).
Ils ont également déployé de nouveaux logiciels malveillants Dryhook et Phasejam (non actuellement associés à un groupe de menaces) sur des appliances VPN compromises.
Le chercheur de Macnica, Yutaka Sejiyama, a déclaré à Breachtrace que plus de 3 600 appliances ICS ont été exposées en ligne lorsqu’Ivanti a publié un correctif pour le jour zéro mercredi.
En octobre, Ivanti a publié d’autres mises à jour de sécurité pour corriger trois autres zero-days Cloud Services Appliance (CSA) qui ont également été activement exploités dans des attaques.