L'Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment révélé une importante faille de sécurité concernant l'application GeoServer. Cette faille a été exploitée pour infiltrer le système d'une grande agence fédérale américaine relevant du pouvoir exécutif civil (FCEB). L'attaque a exploité la vulnérabilité CVE-2024-36401 de GeoServer, un serveur SIG (système d'information géographique) open source largement utilisé, conçu pour permettre aux développeurs d'assembler des données géospatiales provenant de différentes sources à des fins de cartographie.
L'exploitation de la faille a eu lieu moins de deux semaines après sa divulgation publique. Les attaquants ont exploité cette vulnérabilité pour accéder sans autorisation au réseau de l'agence, en ciblant initialement une instance GeoServer accessible au public. Ils ont ensuite progressé latéralement au sein du système, en s'introduisant dans des serveurs GeoServer secondaires et en accédant à d'autres serveurs internes, notamment des serveurs web et SQL. Fait remarquable, les attaquants ont maintenu cette intrusion pendant environ trois semaines avant d'être détectés, ce qui leur a permis de déployer d'autres logiciels malveillants, dont des web shells comme China Chopper.
Une faille critique de GeoServer permet l'exécution de code à distance, une vulnérabilité grave qui autorise des attaquants à exécuter du code arbitraire sur une machine distante. Cette vulnérabilité a obtenu la note de 9,8 sur 10 sur le système CVSS (Common Vulnerability Scoring System) en raison de sa gravité. La procédure de réponse à l'incident initiée par la CISA a été entravée par des protocoles de réponse inadéquats et par le retard pris dans la correction de la vulnérabilité, ce qui a compliqué davantage les efforts d'atténuation.
L'exploitation réussie de la vulnérabilité CVE-2024-36401 est particulièrement préoccupante étant donné l'intégration de GeoServer dans des applications critiques utilisées par les membres de l'Open Geospatial Consortium. Ces applications sont essentielles à diverses fins, allant de l'analyse des données environnementales aux opérations militaires et aérospatiales.
L'avis de la CISA indique que les attaquants ont initié la brèche en utilisant des outils d'analyse réseau tels que Burp Suite pour identifier les instances GeoServer vulnérables. Une fois l'accès obtenu, ils ont téléchargé et utilisé des scripts et des outils disponibles publiquement pour parcourir l'infrastructure réseau de manière robuste. Les attaquants ont eu recours à des méthodes telles que les attaques par force brute pour dérober les identifiants de compte et ont déployé Stowaway, un outil de proxy réseau, pour gérer les opérations de commande et de contrôle depuis le réseau compromis.
Plus tard, les attaquants ont tenté d'exploiter une ancienne vulnérabilité du noyau Linux, connue sous le nom de “ Dirty Cow ”, pour obtenir une élévation de privilèges. Bien que Stowaway et d'autres outils aient été initialement détectés par les systèmes EDR (Endpoint Detection and Response) de l'agence, la réaction tardive de cette dernière et l'absence de surveillance continue ont permis à la faille de persister.
Cet incident a suscité un intérêt croissant, mettant en lumière les enjeux géopolitiques du cyberespace où des vulnérabilités similaires ont été exploitées par des acteurs étatiques dans le cadre de campagnes de cyberespionnage. Des chercheurs de sociétés de cybersécurité telles que Fortinet et Trend Micro ont observé plusieurs campagnes malveillantes, dont certaines potentiellement liées à des groupes de cyberespionnage chinois, exploitant cette vulnérabilité et d'autres similaires au cours de la même période et ciblant des opérations dans la région Asie-Pacifique.
Dans son avis, la CISA a souligné plusieurs enseignements tirés de cet incident, mettant en lumière des leçons essentielles en matière de cyberdéfense et de réponse aux incidents. Les agences et organisations sont invitées à mettre en place des cadres de gestion des vulnérabilités robustes, privilégiant la correction immédiate des vulnérabilités répertoriées dans le catalogue des vulnérabilités exploitées connues. De plus, la maintenance, la mise à jour régulière et les tests rigoureux des plans de réponse aux incidents, ainsi que la mise en œuvre de solutions complètes de journalisation et de surveillance, sont indispensables pour détecter et atténuer rapidement les intrusions potentielles dans le réseau.
Cette faille de sécurité souligne l'importance d'une stratégie de cybersécurité cohérente et éprouvée, et notamment la nécessité d'une réaction rapide face aux menaces et vulnérabilités identifiées. Il est rappelé aux organisations qu'elles doivent veiller à l'exhaustivité de leurs mesures de sécurité des terminaux et qu'il leur est conseillé d'élaborer un protocole détaillé pour réagir rapidement aux menaces détectées, en tirant les leçons de cet incident afin d'affiner leurs protocoles de sécurité et d'améliorer leurs capacités de défense contre les futures cyberattaques.
