Numéro : AL22-010
Date : 24 juin 2022
Auditoire
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 23 juin 2022, la Cybersecurity and Infrastructure Security Agency (CISA) et la Coast Guard Cyber Command (CGCYBER) des États-Unis ont publié un bulletin de cybersécurité conjoint (CSA pour Cybersecurity Advisory) Note de bas de page 1. Ce bulletin sert à aviser les responsables de la défense réseau que des auteurs de menaces persistantes avancées (MPA) continuent d’exploiter la vulnérabilité CVE-2021-44228 (Log4Shell) sur les serveurs VMware Horizon et Unified Access Gateway (UAG) non corrigés.
Ce CSA contient les tactiques, techniques et procédures (TTP), ainsi que les indicateurs de compromission (IC) des activités soupçonnées liées à la MPA. Les responsables de la défense réseau peuvent tirer parti de ces ressources afin de déterminer si des activités malveillantes se sont produites et de fournir des recommandations pour l’intervention en cas d’incident.
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations ayant des systèmes VMware Horizon et UAG vulnérables de :
- passer en revue le bulletin conjoint sur l’atténuation de Log4Shell qui a été publié initialement en décembre 2021, et suivre les conseils et les avis qui y sont inclus Note de bas de page 2;
- passer en revue la récente alerte de la CISA et de la CGCYBER pour obtenir de l’information additionnelle Note de bas de page 1;
- d’appliquer la mise à jour la plus récente à tous les systèmes touchés;
- utiliser les TTP et les IC pour examiner ou corriger les systèmes touchés et associés.
Comme il n’a pas vérifié les détails techniques mentionnés dans la divulgation en question, le Centre pour la cybersécurité fournit la présente information telle quelle à des fins de sensibilisation et de prise de mesures potentielles. Avant de mettre en œuvre l’une des recommandations susmentionnées, il conviendra pour les organisations de vérifier l’incidence possible sur ses services et ses environnements en réseau.
S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).