Blog WatchGuard

Les routeurs et les points d’accès Wi-Fi sont les appareils informatiques les plus vulnérables

Aujourd’hui, le nombre et la diversité des appareils connectés continuent de croître dans les entreprises, et ce quel que soit leur secteur d’activité. Dans un tel contexte, les entreprises doivent comprendre et gérer les risques auxquels elles sont exposées.

Nous continuons d’affirmer que la surface d’attaque augmente, et c’est parce qu’elle s’étend maintenant à l’informatique, à l’IoT et à l’OT pour la plupart des entreprises, sans oublier l’IoMT dans le domaine de la santé. Cependant, les appareils informatiques restent la cible principale des malwares, parmi lesquels les ransomwares, et sont considérés comme le principal vecteur d’entrée que les acteurs mal intentionnés exploitent initialement.

À cet égard, un récent rapport sur les appareils connectés les plus à risque pour les réseaux d’entreprise observe que les routeurs et les points d’accès sans fil sont en passe de devenir les points d’entrée les plus courants pour les malwares et les menaces persistantes avancées.

Un nouveau modus operandi pour une campagne d’attaque connue sous le nom de ZuoRAT a récemment été découvert, après avoir réussi à échapper aux radars pendant près de deux ans. Cette campagne est extrêmement sophistiquée et cible principalement les bureaux à distance ou à domicile, en utilisant le routeur comme vecteur d’entrée. Voici comment une telle attaque fonctionne :

  • Tout d’abord, un fichier MIPS compilé est envoyé aux routeurs. Ce fichier est un malware appelé ZuoRAT, conçu pour recueillir des informations sur les appareils et le LAN afin d’y accéder après avoir infecté l’ordinateur.
  • Une fois installé, le malware recense les hôtes et le réseau local interne. Il peut également inspecter des paquets de réseau transmis par l’intermédiaire de l’appareil compromis et lancer une attaque de type man-in-the-middle, comme le détournement DNS et HTTP, sur la base d’un ensemble prédéfini de règles. L’opération de détournement amène les appareils connectés à déployer des loaders de shellcode sur des machines du réseau local.
  • L’étape suivante consiste à passer du routeur aux postes de travail sur le réseau, en déployant un loader Windows pour télécharger et exécuter l’un de ces trois chevaux de Troie : CBeacon, GoBeacon ou CobaltStrike.

Cette campagne cible généralement les entreprises américaines et européennes. Au moins 80 cibles ont été touchées sur une période de neuf mois, mais il est probable que beaucoup d’autres aient été visées.

Cette menace peut uniquement être atténuée en déployant des solutions de détection à jour et bien configurées.

Des réseaux sans fil impénétrables et un réseau d’entreprise sécurisé

L’essor du télétravail et du travail hybride a changé la façon dont les employés se connectent à Internet et complique la gestion des risques pour les responsables informatiques. Les équipes des entreprises accèdent maintenant constamment à Internet à partir d’un réseau domestique souvent non protégé plutôt qu’à partir du réseau sécurisé du bureau physique.

Cela génère de nouveaux besoins de sécurité auxquels il est possible de répondre en intégrant des points d’accès Wi-Fi sécurisés et un logiciel de gestion de réseau sans fil offrant une connectivité optimisée. En plus de fournir un ensemble complet et pratique de fonctions sans fil, ils assurent le chiffrement sécurisé requis par les environnements de travail actuels. Mais le principal avantage réside dans le niveau élevé de visibilité, qui permet une surveillance et un reporting détaillés sur l’environnement Wi-Fi, donnant aux administrateurs informatiques les informations dont ils ont besoin pour déterminer le niveau de performances des points d’accès Wi-Fi. Il est ainsi possible de visualiser l’état de l’appareil et, plus important encore, sa santé, ce qui facilite le suivi des mises à jour et évite les vulnérabilités potentielles.

La combinaison de cette solution avec un firewall protège les utilisateurs contre les attaques sophistiquées de type ZuoRAT, car elle empêchera tout malware caché dans le trafic chiffré d’accéder au réseau de l’entreprise. Chez Akubra, une entreprise qui conçoit, fabrique et distribue des chapeaux australiens emblématiques, les responsables ont pris conscience de la nécessité de suivre cette voie pour réduire considérablement le nombre de menaces ciblant leurs serveurs. Les solutions WatchGuard ont permis à l’équipe informatique d’Akubra de toujours prendre les bonnes décisions et de maintenir des niveaux de sécurité optimaux, ce qui s’est traduit par une hausse de la productivité et de la satisfaction des employés.

Comme le montre le cas Akubra, disposer des bonnes solutions de protection signifie que les entreprises peuvent concentrer leurs efforts sur d’autres domaines qui ajoutent de la valeur à leur activité. Toutes les entreprises ont besoin d’un accès Internet aujourd’hui. La meilleure façon de protéger les appareils connectés les plus à risque dans leur environnement est de rechercher un fournisseur de cybersécurité qui offre les solutions avancées nécessaires.