La semaine dernière, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a annoncé le lancement du programme Ransomware Vulnerability Warning Pilot (RVWP) pour « identifier de manière proactive les systèmes d'information qui contiennent des vulnérabilités de sécurité couramment associées aux attaques par ransomwares ». Une fois que le programme aura identifié les systèmes vulnérables, la CISA les notifiera pour qu'ils puissent atténuer les défauts avant que les attaquants ne causent trop de dégâts. L'agence indique qu'elle recherchera les systèmes concernés en utilisant les services, les sources de données, les technologies et les autorités existantes, y compris son analyse de vulnérabilités. La CISA a lancé le RVWP en notifiant 93 entreprises identifiées comme exécutant des instances Microsoft Exchange Service avec la faille appelée ProxyNotShell largement exploitée par les acteurs du ransomware. L'agence a déclaré que ce cycle a démontré « l'efficacité de ce modèle pour réduire les risques en temps opportun alors que nous étendons davantage le RVWP à des vulnérabilités et des organisations supplémentaires ».

« Le RVWP permettra à CISA de fournir des informations opportunes et exploitables qui réduiront directement la prévalence des incidents de ransomware dommageables affectant les organisations américaines. Nous encourageons chaque organisation à atténuer de toute urgence les vulnérabilités identifiées par ce programme et à adopter des mesures de sécurité solides conformes aux directives du gouvernement américain sur StopRansomware.gov », a déclaré à ce sujet Eric Goldstein, directeur adjoint exécutif pour la cybersécurité du CISA.

Un pilote démarré avec ProxyNotShell

Au-delà de l'annonce officielle, la CISA a donné peu de détails sur le programme RVWP. Une question est de savoir pourquoi l'organisme a lancé le programme avec la vulnérabilité ProxyNotShell. ProxyNotShell est la dernière d'une série de failles exploitées par le cybergang Hafnium soutenu par la Chine ciblant les serveurs Microsoft Exchange. Fin septembre, deux failles zero day (CVE-2022-41040, CVE-2022-41082) sont devenues collectivement connues sous le nom de ProxyNotShell. Microsoft a publié des correctifs pour ProxyNotShell en novembre. « Je vous garantis que la raison la plus probable est d'avoir eu un avertissement ou préavis qu'il était utilisé », a déclaré à notre confrère CSO Andrew Morris, fondateur et CEO de GreyNoise. « Cette vulnérabilité était activement utilisée par un acteur malveillant pour parvenir à de nombreux compromis et espionner des personnes et des entreprises américaines. Parce que la CISA travaille main dans la main avec la communauté du renseignement des États-Unis, la chose la plus évidente et la plus probable serait simplement qu'ils avaient en tête que c'est une vulnérabilité que certains acteurs étatiques utilisent avec un succès fou ».

Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré de son côté que son entreprise avait vu plusieurs acteurs de ransomware profiter de ProxyNotShell au cours des derniers mois. « Je dirais que vers la seconde moitié de l'année dernière, et au début de cette année, le groupe de rançongiciels PLAY était le plus remarquable pour son utilisation de ProxyNotShell car ils ont réussi à trouver un moyen de cibler les recommandations d'atténuation que Microsoft avait initialement fournies lorsque des vulnérabilités ont été révélées ». Le cybergang par ransomware PLAY est un acteur menaçant relativement récent. Les derniers incidents dont le groupe s'attribue le mérite sont des attaques dévastatrices contre la ville d'Oakland, la chaîne allemande H-Hotels, la ville belge d'Anvers, le pouvoir judiciaire argentin de Córdoba et d'autres cibles de premier plan.

Les failles plus anciennes devraient être les prochaines pour RVWP

ProxyNotShell a aussi été découvert récemment, mais certains experts pensent que la CISA serait mieux placée pour commencer à rechercher les vulnérabilités plus anciennes qui constituent la base de la plupart des attaques par ransomware. « La majorité des rançongiciels ciblent des vulnérabilités d'au moins un an, voire deux ans », a déclaré Jonathan Trull, vice président senior de l'architecture des solutions de sécurité et CISO chez Qualys. Et ce dernier d'ajouter que les recherches de Qualys montrent que les 300 failles anciennes et non corrigées sont ce que les attaquants de ransomwares cherchent à exploiter à maintes reprises. « Nous savons de très près, grâce à nos recherches, qu'il s'agit d'une poignée de vulnérabilités identiques dans chaque kit de ransomware », dit-il. « J'espère que l'agence ne se concentrera pas uniquement sur les derniers et les meilleurs ». Satnam Narang estime que la CISA se concentrera sur les applications destinées au public dans sa prochaine initiative RVWP. « Je pense que le programme se concentrera en grande partie sur l'identification de ces applications publiques vulnérables car, le plus souvent, les groupes de ransomwares recherchent des applications publiques contenant des vulnérabilités ». Satnam Narang souligne le pic des groupes de rançongiciels ciblant les VPN SSL au début de la pandémie comme l'une de ces cibles publiques. « Nous avons vu des groupes de ransomwares cibler ces VPN SSL. Nous en parlons longuement depuis des années maintenant. Nous voyons toujours ceux qui sont exploités par des groupes de ransomwares ».

La CISA indique qu'elle avertira les entités d'infrastructure critiques dans le cadre des efforts d'analyse RVWP qu'elles souffrent de vulnérabilités pouvant conduire à des attaques de ransomwares. Le programme profitera probablement le plus aux petites organisations, étant donné que les grandes organisations disposent généralement de plus de personnel et de ressources pour remédier ou gérer les vulnérabilités. « Je soupçonne que de nombreuses petites et moyennes entreprises en bénéficieront probablement, car souvent ces sociétés ne disposent pas du budget ou du personnel de sécurité requis », avance Satnam Narang. « Ils peuvent externaliser leur sécurité pour gérer les fournisseurs de services. Mais, même dans ce cas, je pense qu'ils seront probablement les plus grands bénéficiaires de ce type de programme ». Les boutiques et les petites agences gouvernementales ont besoin de ce type de service, avance Andrew Morris. « C'est là que leur impact sera le plus important. Ce sont eux qui en ont le plus besoin ».

Un programme accueilli les bras ouverts

La réaction au RVWP semble être uniformément positive. « J'ai dirigé une assez grande équipe de réponse aux incidents pour Microsoft à l'époque », déclare Jonathan Trull. « De tous les incidents que nous avons rencontrés, probablement 90 à 95 % étaient liés à des ransomwares. Donc, je pense qu'ayant à répondre à ces incidents à travers le monde et voyant leur impact, je suis ravi de voir cette initiative démarrer [...] Je pense que c'est une initiative fantastique compte tenu du succès des groupes de rançongiciels à s'introduire dans des organisations ciblant des vulnérabilités connues », déclare Satnam Narang. Et Andrew Morris d'expliquer : « Mon impression générale est que c'est une très bonne chose. C'est vraiment nécessaire, et c'est un grand pas dans la bonne direction pour protéger les entreprises américaines contre les ransomwares et protéger les Américains ».