Depuis quelques jours, les tentatives de connexion s’emballent sur les portails GlobalProtect de Palo Alto et les API SonicWall. Plusieurs milliers d'adresses IP ont été repérées dans ces scans à grande échelle, et proviendraient toutes de la même infrastructure. Si rien n’indique une faille logicielle, le volume observé témoigne d’une campagne de reconnaissance menée avec méthode.

Une nouvelle vague d’attaques vise les VPN d’entreprise, et elle prend de l’ampleur. © babar ali 1233 / Shutterstock
Une nouvelle vague d’attaques vise les VPN d’entreprise, et elle prend de l’ampleur. © babar ali 1233 / Shutterstock

Début décembre, les capteurs de GreyNoise ont relevé une hausse soudaine des tentatives de connexion visant les portails GlobalProtect, la passerelle VPN de Palo Alto déployée dans de nombreuses entreprises et administrations. Derrière ces sollicitations, un même acteur qui s’appuie sur l’infrastructure du fournisseur allemand 3xK GmbH, hébergeur légitime dont certains serveurs semblent avoir été détournés pour mener une campagne coordonnée de tentatives de connexion à grande échelle. Le lendemain, les mêmes empreintes techniques visaient déjà l’interface en ligne utilisée pour administrer les pare-feu SonicWall, suggérant que les cybercriminels à l’œuvre ne chercheraient pas à cibler un éditeur en particulier, mais plutôt à cartographier les accès VPN et les dispositifs chargés de filtrer le trafic entrant exposés sur Internet.

Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Une activité coordonnée qui cartographie les accès exposés

Dans le détail, GreyNoise a indiqué avoir enregistré le 2 décembre plus de sept mille adresses IP tentant de se connecter aux portails GlobalProtect. L’ensemble du trafic provenait de l’infrastructure de 3xK GmbH, un fournisseur d’hébergement et de services réseau dont les machines peuvent générer un volume important de sessions valides en très peu de temps. Sur le moment, l’épisode pouvait passer pour un pic isolé, mais les analystes y ont vite vu un écho à une activité repérée à l’automne dernier.

Entre fin septembre et mi-octobre, les équipes de recherche avaient en effet identifié plusieurs millions de sessions HTTP valides provenant de quatre hébergeurs dépourvus d’historique malveillant particulier. Le trafic se composait de tentatives de connexion et d’essais de craquage d’identifiants par force brute visant les portails GlobalProtect et leurs surfaces d’authentification. Trois empreintes techniques revenaient alors de manière systématique dans les relevés, les mêmes que GreyNoise explique avoir observées dans les événements du début décembre, malgré un changement complet d’infrastructure.

Le 3 décembre, ces signatures réapparaissent dans une nouvelle série de scans dirigés cette fois vers l’interface en ligne utilisée pour administrer les pare-feu SonicWall. Le ciblage évolue, mais les empreintes identiques laissent penser qu’un seul acteur élargit progressivement son périmètre en passant d’un service à un autre. En tenant compte du volume généré depuis septembre, de la récurrence des signatures et du passage d’une infrastructure à l’autre, GreyNoise y voit moins une succession d’incidents qu’une opération de reconnaissance menée sur la durée, dont l’objectif semble être de cartographier les accès exposés avant toute éventuelle tentative d’exploitation.

Évolution du nombre d’adresses IP uniques et suspectes tentant d’accéder aux portails GlobalProtect entre septembre et décembre, avec un pic marqué autour du 2 décembre. © GreyNoise

Durcir et surveiller les accès VPN et pare-feu

En dépit de son intensité, cette campagne ne révèle pas de vulnérabilité immédiate, ce que Palo Alto a d’ailleurs confirmé auprès de Bleeping Computer. Elle met plutôt en évidence le rôle central des accès VPN et des pare-feu dans les architectures actuelles, et l’intérêt que leur portent les acteurs malveillants. Le volume de sollicitations, la répétition des empreintes et les scans des interfaces de gestion montrent la nécessité d’une surveillance continue, capable de repérer les comportements inhabituels et d’ajuster automatiquement les politiques de blocage, dans la mesure où les listes statiques, trop rigides, peinent à suivre des infrastructures de plus en plus mouvantes, qui changent d’adresses IP à un rythme soutenu.

Les administrateurs et administratrices en charge des accès VPN Palo Alto ou des pare-feu SonicWall ont tout intérêt à resserrer le contrôle de leurs surfaces d’authentification, à suivre l’apparition de signatures récurrentes et à privilégier des dispositifs capables d’ajuster automatiquement la réponse en fonction du comportement observé. L’usage systématique de l’authentification multifacteur réduit fortement l’efficacité des attaques fondées sur des identifiants compromis, et l’emploi de mots de passe uniques et suffisamment solides évite qu’une fuite isolée puisse être réutilisée contre ces services exposés. Un suivi attentif des tentatives répétées permet enfin de repérer plus tôt ce type de campagne.

Sources : GreyNoise, Bleeping Computer