Sécurisation des solutions d’accès à distance aux systèmes d’information
Contexte
Ces derniers mois, les solutions d’accès à distance sont ciblées par les attaquants dans le but de compromettre les systèmes d’information des entreprises qui les ont mises en oeuvre. Les attaquants profitent soit de vulnérabilités graves telles que celles publiées récemment[1][2] (cf. section documentaire) et pour lesquelles des codes d’exploitation ont été diffusés, soit d’une faiblesse dans la politique d’authentification pour usurper l’identité d’utilisateurs.
Systèmes affectés
Tout système d’information (SI), qu’il s’agisse d’un SI interne ou d’un SI hébergé en nuage (Cloud public ou privé) disposant d’une solution d’accès à distance en mode ‘nomadisme’.
Recommandations
Dans un contexte d’accès à distance en mode nomadisme – c’est-à-dire d’un utilisateur se connectant depuis l’extérieur à des ressources métier de l’entité –, nous rappelons que l’usage de solutions reposant sur la technologie VPN (Virtual Private Network, réseau privé virtuel) reste à privilégier, et en particulier des solutions implémentant un VPN IPsec.
En effet, il n’est pas recommandé d’exposer directement sur Internet des passerelles de déport d’affichage comme Microsoft RD Gateway ou Citrix Gateway (ex Netscaler). Ces passerelles d’accès présentent une surface d’attaque plus importante qu’un concentrateur VPN. Il est donc préférable de n’autoriser l’accès à celles-ci qu’une fois l’authentification VPN réussie et le tunnel VPN monté entre le poste de travail utilisateur et le concentrateur VPN.
D’autre part, l’exposition sur Internet augmente les opportunités d’attaque visant à usurper l’identité d’un utilisateur nomade si le processus d’authentification n’est pas suffisamment robuste. La mise en oeuvre d’une authentification à double facteur permet de réduire ce risque.
Ces recommandations sont valables quel que soit le système d’information (SI) ciblé, que ce soit un SI interne de l’entité ou bien un SI hébergé en nuage (Cloud public ou privé).
Les bonnes pratiques et recommandations d’usage en situation nomadisme sont notamment explicitées dans le guide de l’ANSSI sur le sujet[3].
De même, le guide relatif à l’administration sécurisée[4] apporte également des éléments de sécurisation dans le cadre d’un accès à distance par les administrateurs d’une entité.
Enfin, le guide d’architecture des passerelles d’interconnexion à Internet[5] permet de définir les bons principes de cloisonnement pour les accès externes depuis Internet vers le SI de l’entité.
Documentation
Rappel des avis émis
Dans la période du 27 janvier au 02 février 2020, le CERT-FR a émis les publications suivantes :
- CERTFR-2020-AVI-057 : Vulnérabilité dans Cisco Webex
- CERTFR-2020-AVI-058 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2020-AVI-059 : Multiples vulnérabilités dans les processeurs Intel
- CERTFR-2020-AVI-060 : Multiples vulnérabilités dans le noyau Linux d’Ubuntu
- CERTFR-2020-AVI-061 : Multiples vulnérabilités dans Joomla!
- CERTFR-2020-AVI-062 : Multiples vulnérabilités dans Magento
- CERTFR-2020-AVI-063 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2020-AVI-064 : Multiples vulnérabilités dans IBM Control Center
- CERTFR-2020-AVI-065 : Multiples vulnérabilités dans les commutateurs Cisco
- CERTFR-2020-AVI-066 : Vulnérabilité dans IBM WebSphere
- CERTFR-2020-AVI-067 : Multiples vulnérabilités dans GitLab
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2019-AVI-640 : Vulnérabilité dans Citrix Application Delivery Controller et Gateway