Crypto-ransomware SAMSAM : les leçons à tirer en termes de patching

ransomwareLe rôle de la gestion des patchs s’affirme essentiel, alors que les vulnérabilités deviennent des vecteurs d’attaques toujours plus utilisés par les assaillants pour infiltrer les systèmes et réseaux cibles, ou lorsque des failles de sécurité permettent aux menaces de proliférer. Le cas du crypto-ransomware SAMSAM en est le parfait exemple.

Cette menace compte parmi les nombreux de crypto-ransomware, mais au lieu de s’infiltrer via des URL ou emails malveillants, ce malware utilise les failles de sécurité sur des serveurs non patchés. En mars dernier, SAMSAM a ainsi ciblé le Kentucky Hospital en chiffrant tous les fichiers de l’hôpital, et notamment ceux présent sur le réseau. Du secteur des soins de santé, SAMSAM est ensuite passé au secteur de l’enseignement. Lors d’une attaque récente, de nombreux serveurs et systèmes se sont rendus vulnérables à SAMSAM et d’autres malware, compte tenu de vulnérabilités sur JBoss, un serveur applicatif open source fonctionnant sur Java. Les systèmes et serveurs hébergeant le logiciel « Destiny » ont également été affectés. Selon un rapport de CISCO, ce logiciel est utilisé par nombre d’institutions du primaire et du secondaire aux Etats-Unis. Son éditeur, Follett, a déjà mis un patch à disposition pour protéger les utilisateurs.

Selon certaines sources, l’outil d’exploitation JexBoss est utilisé pour déployer webshells, à savoir un script qui permet l’administration à distance des systèmes. Une fois piratés, ces serveurs sont infectés via des backdoors, des webshells et SAMSAM. Ces crypto-ransomware se propagent via des serveurs non-patchés et modifient les fichiers chiffrés en leur rajoutant une extension de fichiers .encryptedRSA.

Les défis liés au patching

SAMSAM n’est certes pas la première menace à utiliser des vulnérabilités pour infiltrer un réseau, mais son apparition introduit une nouvelle couche de risques pour les organisations. Les joyaux de la couronne, à savoir les données confidentielles, courent ainsi le risque d’être chiffrés, avec, à la clé, l’exigence d’une rançon à payer. Il est cependant conseillé de ne pas céder à ce chantage, car le paiement ne garantit en rien la récupération des données.

En dépit cette menace sophistiquée en tant que vecteur d’infection et de mapping du réseau infiltré, le déploiement de patch et la mise à jour des systèmes et des serveurs permettent de mettre un terme au cycle d’attaques. Sauf que les administrateurs IT font face à de nombreux défis, alors qu’ils sont tenus d’assurer le suivi des opérations au quotidien et d’assurer la haute disponibilité des services critiques, tout en sécurisant le périmètre réseau. La tâche de protéger l’entreprise tout en fluidifiant les opérations métiers n’est guère simple : lorsqu’un éditeur logiciel publie un patch de sécurité pour pallier une vulnérabilité zero-day, les administrateurs IT doivent tester cette mise à jour avant de généraliser son déploiement en interne. Le patching n’est donc que trop rarement une tâche prioritaire puisqu’il nécessite de redémarrer les systèmes et serveurs critiques, ce qui obère la productivité métier et aboutit à des indisponibilités.

Selon une enquête, la période moyenne pour étudier, tester puis déployer un patch est de 30 jours, créant ainsi une fenêtre de vulnérabilité pour les données d’entreprise. Toute attaque ou menace qui utilise les vulnérabilités potentielles au cours de cette période met en péril la sécurité et les données d’entreprises.

Quand le Virtual Patching s’impose

Avec le virtual patching, les entreprises répondent aux défis et problématiques de la gestion des patchs. Cette technologie permet aux administrateurs IT de protéger les serveurs et les endpoints vulnérables, sans indisponibilité, ni charges d’exploitation supplémentaires. En l’absence d’un patch proposé par l’éditeur, le virtual patching empêche l’exploitation des vulnérabilités jusqu’à ce qu’un correctif soit à disposition. Les administrateurs IT peuvent ainsi gérer et prévoir de manière pertinente leurs patchs, et ainsi maîtriser les vulnérabilités zero-day ou les attaques qui en tirent parti. De plus, les systèmes ou applications obsolètes, à savoir ceux toujours utilisés mais en fin de support par l’éditeur (et donc de patchs), sont également protégés contre les risques de piratage.

Les données sensibles des organisations sont également sécurisées contre les menaces qui tirent parti de vulnérabilités comme SAMSAM. Même si les entreprises ne déploient pas immédiatement les patchs de sécurité, les serveurs vulnérables restent protégés contre ce crypto-ransomware. Trend Micro Deep Security propose cette fonction de virtual patching qui active des technologies de détection et de prévention des intrusions. Cette solution exhaustive protège les organisations et entreprises contre les exploits et autres malware. Les menaces et attaques qui utilisent des vulnérabilités sont toujours plus nombreuses aujourd’hui : le virtual patching devient ainsi aussi important l’antimalware ou le pare-feu.

Trend Micro Deep Security et Vulnerability Protection protègent les systèmes utilisateurs contre ces menaces qui exploitent les vulnérabilités de JBoss, via la règle DPI suivante:

  • 1007532-JBoss Application Server Unauthenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

D’autre part, les solutions de Trend Micro pour Endpoints (Trend Micro™ Security Trend Micro Smart Protection Suites, et  Trend Micro Worry-Free™ Business Security)  peuvent protéger les systèmes des utilisateurs contre SAMSAM, en détectant les fichiers malveilalnts. Les systèmes avec Trend Micro™ Smart Protection Suites sont également protégés contre menaces  via Trend Micro Endpoint Application Control.

TippingPoint protège également contre cette menace avec la mise à disposition de filtres dédiés:

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

Les entreprises sont invitées à mettre à jour leurs serveurs JBoss servers vers la version la plus récente. Certaines vulnérabilités exploitées sont en fait des bugs déjà connus (par exemple, CVE-2010-0738 et CVE-2007-1036) et qui disposent déjà de patchs. Nous recommandons également aux administrateurs IT de contrôler l’accès à leurs serveurs internes via un pare-feu, si cela n’est pas déjà le cas.

Leave a Reply

Your email address will not be published. Required fields are marked *