Partner Blog

Attaques par force brute de VPN SSL et interruptions du service AuthPoint

22 octobre 2024 Par Carla Roncato
AuthPoint SSO phone in hand, laptop image

WatchGuard a détecté des activités d’attaques par force brute de VPN SSL partout dans le monde, responsables d’un volume excessif de tentatives d’authentification d’utilisateurs inconnus auprès du service d’authentification AuthPoint. Les interruptions de service au cours du mois d’octobre 2024 se sont soldées par une dégradation du service et certains clients et partenaires ont vu leurs sessions d’authentification échouer, s’interrompre ou cesser de façon intermittente. Les attaques par force brute ne ciblent pas directement AuthPoint et n’ont pas entraîné de violation des services de WatchGuard.

Le ou les acteurs de la menace semblent utiliser des identifiants et des mots de passe aléatoires ou courants, ce qui suggère qu’il ne s’agit pas d’une campagne ciblée, mais plutôt de la forme la plus rudimentaire de collecte d’identifiants et de mots de passe. Ces techniques visent à tirer profit des informations des clients utilisant des noms d’utilisateur ou des mots de passe courants et par défaut pour obtenir des accès.

L’ensemble des tentatives d’authentification d’utilisateurs inconnus/non autorisés transitent par des systèmes sur site tels que RADIUS, des VPN SSL et des firewalls vers les services d’authentification AuthPoint présents dans toutes les régions du monde. Nous enregistrons par ailleurs une augmentation du trafic d’utilisateurs inconnus à partir des Firebox WatchGuard directement liées aux services AuthPoint.

WatchGuard a relevé des attaques par force brute d’identifiants et d’informations d’authentification de VPN SSL plus tôt dans l’année. Cependant, l’ampleur et le volume des attaques survenues du 20 au 22 octobre ont augmenté de manière significative. Nous avons précédemment publié un article explicatif regroupant des informations et des bonnes pratiques pour faire face aux interruptions causées par les attaques par force brute. Cet article a été mis à jour sur la base de ces dernières activités.

Les partenaires et les clients doivent-ils mettre en œuvre des mesures pour réduire les interruptions de service ?
Comme mentionné ci-dessus, l’article explicatif fournit les meilleures pratiques pouvant être mises en œuvre par les administrateurs de Firebox pour limiter les tentatives d’authentification d’utilisateurs inconnus et non autorisés à partir des Firebox, y compris l’activation de la détection des Botnet grâce à notre dernière mise à jour. Si vos systèmes tiers prennent en charge la limitation du trafic d’authentification ou le blocage automatique des adresses IP après plusieurs tentatives d’authentification échouées, nous vous recommandons de les activer.

Quelles mesures prenons-nous pour remédier à l’interruption du service AuthPoint ?
WatchGuard a mis à l’échelle d’autres instances et continue de surveiller les services d’infrastructure d’AuthPoint afin de réduire les interruptions de service. Plus précisément, les équipes d’astreinte assurent une surveillance continue des services de production dans l’ensemble des régions, améliorent nos outils d’autoréparation et de récupération, et ont activé la limitation d’authentification au moyen de RADIUS dans l’ensemble des régions.

WatchGuard a également publié une mise à jour de son service de détection Botnet pour Firebox, permettant de bloquer les adresses IP sources identifiées. Si vous administrez une Firebox et que votre portail SSL/VPN est accessible par Internet, nous vous recommandons vivement d’activer la détection de Botnet et de télécharger la mise à jour.

Quelles sont les mesures d’assistance que nous prenons pour remédier aux interruptions de service ?
Le support WatchGuard a également répondu assidûment aux plaintes des clients à la suite de l’augmentation du volume au cours des dernières 48-72 heures. Nos équipes support apportent une aide active aux clients et partenaires confrontés à un volume excessif d’utilisateurs inconnus et de demandes d’authentification provenant d’un ou de plusieurs de leurs services sur site.

Les clients équipés de Firebox et/ou de systèmes tiers doivent activer la détection de Botnet, désactiver l’accès externe au portail VPN SSL, activer les restrictions de géolocalisation et définir des limites de débit de connexion, comme indiqué dans cet article explicatif, qui sera révisé au fur et à mesure que de nouvelles informations seront disponibles.

Quand ces attaques par force brute ont-elles été découvertes pour la première fois ?
Tout au long de l’année 2024, le secteur a été marqué par la publication de plusieurs avis de sécurité relatifs aux VPN SSL et aux attaques par force brute, d’abord en février, puis en avril. Cependant, ce dernier épisode a débuté temporairement le dimanche 20 octobre, puis a repris le lundi 21 octobre.

Que se passera-t-il ensuite ?
WatchGuard étant soucieux de travailler de manière transparente avec ses partenaires, nous vous communiquons cet article dès à présent, et nous le communiquerons à l’ensemble de notre communauté par le biais de notre blog Product & Support sous 24 heures. WatchGuard poursuit la surveillance des activités relatives aux attaques par force brute et de leur impact sur nos services, tout en veillant à mettre à jour notre page "status" avec de nouvelles informations pertinentes.

Classé sous : Identity Security et MFA, Authentification des accès et de l'identité, Authentification multifacteur, WatchGuard AuthPoint, Informations sur les produits
Blog Home

Posts concernés

compressed
Article

Ajustement des prix des appliances Firebox et fin de vie : ce qu’il faut savoir

Article

Ajustement des prix des appliances Firebox et fin de vie : ce qu’il faut savoir

À compter du 1er octobre 2024, WatchGuard augmente les prix de renouvellement de ses appliances Firebox T70, T55-W, T55, T35-W et T35 (voir la liste complète des références ci-dessous). Ces modèles ne seront plus pris en charge après leur fin de vie le 31 décembre 2025. Nous vous recommandons de…

Lire l'article
Blog Home