Attaques sur les VPN d’entreprise : une nouvelle vague ciblant les accès de sécurité

Les tentatives de pénétration des réseaux VPN d’entreprise se multiplient, avec des cybercriminels orchestrant des campagnes d’envergure pour cartographier les accès exposés. Cette montée en puissance des attaques inquiète, bien que la sécurité intrinsèque des systèmes ne soit pas encore directement compromise.

Résumé en 3 points

• Des tentatives de connexion massives ciblent les portails GlobalProtect de Palo Alto et les API SonicWall.
• Les attaques semblent orchestrées par une infrastructure allemande, 3xK GmbH, détournée à cet effet.
• Aucune faille logicielle majeure n’a été détectée, mais la vigilance est de mise pour les administrateurs de réseaux.

Multiplication des tentatives de connexion

Début décembre, GreyNoise a détecté une hausse importante des tentatives de connexion visant les portails GlobalProtect, une passerelle VPN largement utilisée par les entreprises et les administrations. Cette activité semble émaner d’une infrastructure unique, appartenant à l’hébergeur allemand 3xK GmbH.

Ces connexions massives ne visent pas spécifiquement un éditeur, mais cherchent plutôt à cartographier les accès VPN et les dispositifs de filtrage exposés sur Internet. La méthode employée laisse penser à une campagne de reconnaissance méthodique.

Évolution des cibles et récurrence des signatures

Les signatures techniques identifiées par GreyNoise lors de ces attaques correspondent à celles observées lors d’une activité similaire à l’automne dernier. En l’espace de quelques mois, les cibles sont passées des portails GlobalProtect aux pare-feu SonicWall, suggérant une extension progressive des objectifs des attaquants.

Cette continuité dans les signatures techniques montre que l’acteur malveillant élargit son champ d’action. Le trafic massif observé et la récurrence des empreintes démontrent une opération de reconnaissance continue.

Recommandations pour les administrateurs de réseaux

Face à ces menaces, les administrateurs des réseaux utilisant GlobalProtect et SonicWall doivent renforcer les contrôles de sécurité. L’usage de l’authentification multifacteur et de mots de passe robustes est fortement conseillé pour contrer les tentatives d’accès non autorisées.

Il est crucial de mettre en place des systèmes capables de détecter les comportements anormaux et d’ajuster automatiquement les politiques de blocage. La surveillance continue des tentatives de connexion peut aider à identifier rapidement les campagnes malveillantes.

Contexte : 3xK GmbH et la sécurité des VPN

3xK GmbH est un fournisseur d’hébergement et de services réseau basé en Allemagne. Bien que ses infrastructures aient été détournées pour mener des attaques, l’entreprise elle-même n’est pas directement impliquée dans ces activités malveillantes.

Les VPN, ou réseaux privés virtuels, jouent un rôle central dans la sécurisation des communications en entreprise, en permettant des connexions sécurisées à distance. Ainsi, les cybercriminels cherchent souvent à exploiter les faiblesses potentielles de ces systèmes pour accéder aux données sensibles.