L’Agence Nationale de la Sécurité Informatique – ANSI sollicite votre vigilance face à des tentatives d’exploitation des vulnérabilités « ProxyShell » : CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. En effet, ces vulnérabilités pourraient permettre à un attaquant sans authentification d’exécuter du code arbitraire, d’installer des malwares : Ransomwares, Chevaux de Troie, Web Shell, entre autres mettre en œuvre une menace persistante avancée pour contrôler à distance les ressources et les données critiques d’un établissement.
De ce fait, l’ANSI vous recommande vivement de suivre les mesures suivantes :
- Identifier les systèmes vulnérables et appliquer immédiatement la mise à jour de sécurité de Microsoft à partir de mai 2021 pour corriger les trois vulnérabilités de ProxyShell.
- Configurer un VPN pour séparer votre serveur Exchange de l’accès externe et appliquer des règles bien étudiées pour y restreindre les connexions non approuvées.
- Mettre en place des solutions de journalisation nécessaires pour contrôler les évènements survenus sur vos serveurs Windows.
- Garder à jour vos solutions anti-virus, NIDS et IPS.
- Sauvegarder vos données critiques dans des disques externes et des serveurs de backup protégés et isolés d’Internet.
- S’assurer que les accès à vos serveurs, vos équipements réseaux, vos ressources partagées et vos services en ligne (RDP, TELNET, SSH, FTP, SMB, NetBios, SMTP, POP3, etc. …) sont limités, contrôlés et protégés avec des mots de passe robustes.
- Sensibiliser vos employés sur les attaques de Phishing, Social Engineering et les ransomwares.
Source(s) d’information :
bleepingcomputer
https://www.bleepingcomputer.
Avis de sécurité tunCERT/Vuln.2021-222
https://www.ansi.tn/fr/
Avis de sécurité tunCERT/Vuln.2021-317
https://www.ansi.tn/fr/