L'équipe de recherche de Censys a suivi certaines des vulnérabilités les plus importantes de cette année et a fait la une des journaux grâce à son travail. Découvrez trois des vulnérabilités que l'équipe a repérées à l'aide de nos données de veille sur Internet, ainsi que les dernières informations sur l'état d'avancement de la correction des risques liés à chaque vulnérabilité.
Le ransomware ESXiArgs touche plus de 3 500 serveurs VMWare
Plus de 3 500 serveurs VMWare ESXi dans le monde ont été ciblés par une campagne de ransomware qui a débuté au début du mois de février. La semaine dernière, la CISA a publié un outil de récupération pour les victimes du ransomware ESXiArgs. Le ransomware exploite une vulnérabilité non corrigée dans les serveurs VMWare et permet à un acteur de la menace de déclencher un débordement de tas dans le service OpenSLP, ce qui peut entraîner l'exécution de code à distance. Ce ransomware est inhabituel dans la mesure où il présente des notes de rançon sur l'internet, ce qui rend l'activité du ransomware plus visible pour des scanners comme le nôtre. La vulnérabilité de VMWare a été détectée pour la première fois à l'aide de l'analyse Internet Censys, qui a permis d'observer 3 551 hôtes infectés.
Censys Emily Austin et Marc Light, chercheurs principaux en sécurité, analysent l'attaque du ransomware et discutent de l'importance de ce que Censys a pu observer dans leur article de blog : ESXWhy: A Look at ESXiArgs Ransomware.
Dans l'actualité
CensysLa découverte d'un ransomware a fait l'objet d'un certain nombre de publications, notamment :
TechRepublic : Une opération massive de ransomware cible VMware ESXi : comment se protéger contre cette menace de sécurité ?
TechRepublic note que Censys a constaté que plus de 1000 serveurs ont été touchés par le ransomware ESXiArgs, la majorité d'entre eux se trouvant en France, suivie des États-Unis et de l'Allemagne. TechRepublic fournit également des détails sur le fonctionnement du ransomware, notamment sa demande de paiement en bitcoins dans les trois jours, et donne des conseils sur la manière dont les parties concernées peuvent prévenir le ransomware et s'en remettre.
Cyberscoop : Une vague mondiale de ransomwares infecte des serveurs VMWare non corrigés. La CISA propose un (possible) correctif.
Cyberscoop rapporte qu'en dépit de la correction apportée par CISA, les pirates ont "mis à jour le logiciel malveillant pour crypter des fichiers supplémentaires" et précise que l'impact de cette campagne de ransomware est toujours en cours d'évaluation. Le site Censys a identifié au moins 3 800 hôtes compromis, dont 900 serveurs dotés de la dernière version du logiciel malveillant.
L'équipe de Censys continuera à surveiller cette campagne pour déceler les signes d'une activité accrue, et vous pouvez également le faire en utilisant cette requête de recherche Censys .
La CISA ordonne aux agences civiles fédérales de corriger le bogue de SugarCRM
Juste avant le début de la nouvelle année, un exploit a été publié sur la liste de diffusion Full-Disclosure pour un système de gestion de contenu basé sur le web appelé SugarCRM. L'exploit est utilisé pour compromettre des hôtes dans la nature et installer un webshell basé sur le langage php. Peu après la publication de l'exploit, Censys a observé 3 059 instances de SugarCRM sur l'internet et 354 adresses IP uniques contenant le webshell installé par l'exploit. Les chercheurs de Censys ont également suivi les dix premiers pays hôtes infectés (#1 - États-Unis), ainsi que les systèmes autonomes les plus touchés (#1 - Amazon-02).
La CISA a depuis ajouté l'exploit à son catalogue de vulnérabilités connues et exploitées et a ordonné aux agences civiles de corriger le bogue de SugarCRM d'ici le 23 février.
En savoir plus sur la façon dont Censys a suivi le bogue SugarCRM et les indicateurs communs de compromission qu'il a identifiés : Suivi d'un jour zéro dans SugarCRM
Dans l'actualité
Le dossier : La CISA ajoute les bogues d'Oracle et de SugarCRM à la liste des vulnérabilités exploitées
The Record rapporte que la CISA a ajouté le bogue SugarCRM à sa liste de vulnérabilités exploitées, déclarant que la vulnérabilité est activement exploitée et "pose des risques significatifs pour l'entreprise fédérale". L'article cite l'observation faite par Censysde plus de 3 000 instances de SugarCRM sur l'internet en janvier et de plus de 350 adresses IP uniques contenant le webshell installé par l'exploit. L'article note également que le bogue de SugarCRM cible le segment de marché des petites entreprises, alors que le bogue d'Oracle - que la CISA a également ordonné de corriger d'ici le 23 février 2023 - cible les entreprises, soulignant ainsi comment tous les segments de marché peuvent attirer des menaces persistantes avancées.
Les routeurs Cisco en fin de vie sont exposés aux attaques RCE
L'équipe Censys a suivi une vulnérabilité apparue en janvier dans les routeurs de petites entreprises de Cisco. Une semaine après l'apparition de la vulnérabilité, Censys a trouvé environ 19 500 routeurs Cisco non corrigés et exposés aux attaques RCE. Cette vulnérabilité permet à des clients non authentifiés de contourner l'authentification et d'obtenir des privilèges administratifs permettant d'exécuter des commandes arbitraires. Il est important de noter que, comme Cisco ne prend plus en charge ces serveurs en fin de vie, l'entreprise a annoncé qu'aucune mise à jour logicielle ne serait publiée pour remédier à la vulnérabilité.
En lançant une requête sur Censys Search, l'équipe de recherche de Censys a pu déterminer quels modèles de routeurs en fin de vie étaient les plus touchés, et identifier où les modèles concernés étaient hébergés dans le monde. Vous trouverez plus d'informations sur la manière dont nous avons suivi cette exposition dans le blog Rapid Response de notre équipe : CVE-2023-20025 : RCE dans les routeurs Cisco en fin de vie
Dans l'actualité
Bleeping Computer : Plus de 19 000 routeurs Cisco en fin de vie exposés à des attaques RCE
Bleeping Computer cite les chercheurs de Censys dans son rapport sur la récente exposition des routeurs Cisco, soulignant que l'équipe de Censys a trouvé près de 20 000 hôtes potentiellement vulnérables à l'attaque, et a identifié quatre modèles de routeurs Cisco qui ont été touchés. Bleeping Computer partage également les directives de Cisco sur la façon dont les utilisateurs peuvent encore sécuriser leurs appareils, malgré le fait qu'aucune mise à jour de sécurité officielle ne sera publiée.
Vous souhaitez en savoir plus sur la manière dont les équipes de sécurité peuvent exploiter les données d'Internet Intelligence surCensys pour comprendre les vulnérabilités et y remédier ? Explorez Censys Search ou contactez l'un des membres de notre équipe.
