Des failles VoIP utilisées pour compromettre des comptes d’entreprises

Spread the love
  • Yum

Des failles VoIP utilisées pour compromettre des comptes d'entreprises

Une campagne d’attaques a compromis les systèmes téléphoniques VoIP (Voice over Internet Protocol) de plus de 1 000 entreprises dans le monde au cours de l’année dernière. L’objectif était de tirer profit de la vente de comptes compromis.

Si l’objectif principal semble avoir été d’utiliser les comptes pour composer des numéros surtaxés appartenant à des attaquants ou de vendre des numéros de téléphone à des tiers, l’accès à ces systèmes VoIP pourrait donner aux cybercriminels la possibilité de mener d’autres attaques, notamment en écoutant des appels privés, en faisant du cryptomining, voire en utilisant ces systèmes compromis comme tremplin vers des campagnes beaucoup plus intrusives.

Selon les détails fournis par les chercheurs en cybersécurité de Check Point, les attaquants ont compromis les réseaux VoIP de près de 1 200 organisations dans plus de 20 pays en exploitant une vulnérabilité. Plus de la moitié des victimes se trouvent au Royaume-Uni. Des secteurs comme l’administration, l’armée, les assurances, la finance et l’industrie manufacturière auraient été victimes de cette campagne. Parmi les autres pays où des organisations ont été victimes de ces attaques, on peut citer les Pays-Bas, la Belgique, les Etats-Unis, la Colombie et l’Allemagne.

publicité

Des systèmes vulnérables

Ces attaques exploitent la vulnérabilité CVE-2019-19006, une vulnérabilité critique des systèmes téléphoniques VoIP Sangoma et Asterisk qui permet à des personnes extérieures d’accéder à distance sans aucune forme d’authentification. Un correctif de sécurité a été publié l’année dernière pour corriger cette vulnérabilité, mais de nombreuses organisations ne l’ont pas encore appliqué, et les cybercriminels en profitent pour viser les systèmes vulnérables.

« La vulnérabilité est une faille de contournement de l’authentification, et l’exploit est accessible publiquement. Une fois exploités, les pirates ont un accès administrateur au système VoIP, ce qui leur permet de contrôler ses fonctions. Cela ne sera pas détecté, à moins qu’une équipe informatique ne le recherche spécifiquement », explique Derek Middlemiss, évangéliste sécurité chez Check Point Research, à ZDNet.

L’un des moyens les plus courants utilisés pour exploiter les systèmes compromis consiste à passer des appels sortants à l’insu du système VoIP, ce qui permettrait aux attaquants de composer des numéros surtaxés qu’ils ont mis en place afin de générer de l’argent aux dépens de l’organisation victime. Et comme les entreprises passent de nombreux d’appels téléphoniques légitimes sur ces systèmes, il serait difficile de détecter si un serveur est exploité.

Toujours appliquer les correctifs de sécurité disponibles

Les attaquants gagnent également de l’argent en vendant l’accès aux systèmes au plus offrant, ce qui pourrait éventuellement être utilisé pour d’autres cyberattaques plus dangereuses pour les victimes. « Il est probable que ces attaques puissent être utilisées pour d’autres activités malveillantes comme le cryptomining et l’écoute », souligne Derek Middlemiss.

Et il est également possible pour les attaquants d’utiliser un système VoIP compromis comme passerelle vers le reste du réseau, ouvrant la possibilité de voler des identifiants ou de déployer des logiciels malveillants. « Cela dépend de la façon dont le serveur est configuré et connecté au reste du réseau de l’entreprise. S’il n’est pas isolé par rapport au reste du réseau, les attaquants pourraient se déplacer latéralement », précise-t-il.

Il est recommandé aux organisations de changer les noms d’utilisateur et les mots de passe par défaut des appareils afin qu’ils ne soient pas facilement exploitables et, si possible, d’analyser régulièrement les factures d’appel pour détecter les appels potentiellement suspects.

Et surtout, les organisations doivent appliquer les correctifs de sécurité requis pour empêcher l’exploitation des vulnérabilités connues. « Recherchez et appliquez toujours de nouveaux correctifs pour tout ce qui se trouve sur votre réseau afin de vous assurer que des vulnérabilités comme celle-ci sont corrigées », conseille le chercheur.

Source : ZDNet.com

Leave a Reply

%d bloggers like this: