Alerte - Vulnérabilité liée aux RPV SSL touchant les pare-feu SonicWall de septième génération (CVE-2024-40766) – Mise à jour 1

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Un rapport de source ouverte a indiqué qu'une possible vulnérabilité du jour zéro touchant les réseaux privés virtuels (RPV) avec protocole SSL (Secure Sockets Layer) de SonicWall était activement exploitée pour contourner l'authentification multifacteur (AMF) et déployer des rançongiciels (p. ex. rançongiciel Akira)^{Note de bas de page 1Note de bas de page 2}.

Mise à jour 1

Le fournisseur a indiqué que la plus récente activité de RPV SSL n’était pas liée à une vulnérabilité du jour zéro, mais plutôt associée à la vulnérabilité CVE-2024-40766^{Footnote 3}. Cette vulnérabilité concerne la migration des pare-feu de la sixième à la septième génération^{Footnote 3}.

Indicateurs de compromission (IC) et tactiques, techniques et procédures (TTP)

Pour plus de détails sur les tactiques, techniques et procédures (TTP) et les indicateurs de compromission (IC) mentionnés dans le renseignement de sources ouvertes (OSINT pour Open-Source Intelligence), veuillez consulter les rapports cités en référence ci-dessous^{Note de bas de page 1Note de bas de page 2}.

Mesures recommandées

• Mettre à jour le micrologiciel à la version 7.3.0;
• Réinitialiser les mots de passe de tous les comptes d’utilisateur locaux qui ont accès aux RPV SSL, en particulier ceux qui ont été migrés de la sixième à la septième génération;
• Continuer d’adopter les pratiques exemplaires recommandées précédemment :
  • activer la protection contre les réseaux de zombies et le filtrage des adresses par géolocalisation;
  • supprimer les comptes d’utilisateur inutilisés ou inactifs;
  • Mettre en œuvre l’AMF et les stratégies de mot de passe.

Le Centre pour la cybersécurité recommande aux organismes de prendre les mesures suivantes :

• évaluer les installations des pare-feu de SonicWall;
• mettre à jour les pare-feu de SonicWall sans tarder;
• consulter régulièrement la base de connaissances sur la sécurité du fournisseur pour de nouvelles directives^{Footnote 3}.

De plus, le Centre pour la cybersécurité recommande fortement aux organismes de mettre en œuvre les 10 mesures de sécurité des TI^{Note de bas de page 4} du Centre pour la cybersécurité, en particulier celles liées aux stratégies suivantes :

• intégrer, surveiller et défendre les passerelles Internet;
• appliquer des correctifs aux applications et aux systèmes d'exploitation;
• isoler les applications Web;
• mettre en place une liste d'applications autorisées.

Passez en revue le Guide sur les rançongiciels (ITSM.00.099) du Centre pour la cybersécurité et appliquez les contrôles de sécurité recommandés^{Note de bas de page 5}.

Si les destinataires relèvent des activités semblables à l'information fournie dans la présente alerte, on les invite à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.