Les agences de cybersécurité Five Eyes au Royaume-Uni, en Australie, au Canada, en Nouvelle-Zélande et aux États-Unis ont publié des directives exhortant les fabricants d’appareils et d’appareils de périphérie de réseau à améliorer la visibilité médico-légale pour aider les défenseurs à détecter les attaques et à enquêter sur les violations.
De tels dispositifs, y compris les pare-feu, les routeurs, les passerelles de réseaux privés virtuels (VPN), les serveurs connectés à Internet et les systèmes de technologie opérationnelle (OT), et les appareils de l’Internet des objets (IoT), ont été fortement ciblés par des attaquants à la fois parrainés par l’État et motivés financièrement.
Les périphériques périphériques sont souvent ciblés et compromis car ils ne prennent pas en charge les solutions de détection et de réponse des terminaux (EDR), ce qui permet aux auteurs de menaces d’obtenir un accès initial aux réseaux internes de l’entreprise des cibles.
Dans de nombreux cas, ces appareils manquent également de mises à niveau régulières du micrologiciel et d’authentification forte, présentent des vulnérabilités de sécurité et des configurations non sécurisées par défaut, et fournissent une journalisation limitée, ce qui réduit considérablement la capacité des équipes de sécurité à détecter les violations.
De plus, étant positionnés à la périphérie du réseau et gérant presque tout le trafic d’entreprise, ils attirent l’attention en tant que cibles qui facilitent la surveillance du trafic et la collecte des informations d’identification pour un accès ultérieur au réseau s’il n’est pas sécurisé.
« Les adversaires étrangers exploitent régulièrement les vulnérabilités logicielles des périphériques de périphérie du réseau pour infiltrer les réseaux et systèmes d’infrastructure critiques. Les dommages peuvent être coûteux,prendre du temps et avoir une réputation catastrophique pour les organisations des secteurs public et privé », a déclaré CISA.
« Les fabricants d’appareils sont encouragés à inclure et à activer des fonctionnalités standard de journalisation et d’investigation qui sont robustes et sécurisées par défaut, afin que les défenseurs du réseau puissent plus facilement détecter les activités malveillantes et enquêter à la suite d’une intrusion », a ajouté le National Cyber Security Center (NCSC) du Royaume-Uni.
Les agences de cybersécurité ont également conseillé aux défenseurs des réseaux de prendre en compte ces exigences minimales recommandées en matière de visibilité médico-légale avant de choisir des périphériques réseau physiques et virtuels pour leurs organisations.
Au cours des dernières années, les attaquants ont continué à cibler les périphériques réseau périphériques de divers fabricants, notamment Fortinet, Palo Alto, Ivanti, SonicWall, TP-Link et Cisco.
En réponse à l’activité des acteurs de la menace, CISA a émis plusieurs alertes « Sécurisées dès la conception », l’une d’elles en juillet 2024 demandant aux fournisseurs d’éliminer les vulnérabilités d’injection de commandes path OS exploitées par le groupe de menaces Velvet Ant soutenu par l’État chinois pour pirater Cisco, Palo Alto, et Ivanti périphériques périphériques réseau.
L’agence américaine de cybersécurité a également exhorté les fabricants de routeurs SOHO (small office/home office) à sécuriser leurs appareils contre les attaques Volt Typhoon et les fournisseurs de technologies à cesser d’expédier des logiciels et des appareils avec des mots de passe par défaut.