Le géant anglais du commerce Monsoon souffre d’une vulnérabilité critique : l’entreprise et ses clients sont exposés

Dernière mise à jour: août 7, 2020
Monsoon vulnérabilité

Une nouvelle recherche par VPNpro démontre que Monsoon Accessorize utilise une version dépassée de Pulse Connect Secure VPN qui souffre d’une vulnérabilité connue et autorise les pirates à voler ou rançonner des fichiers sensibles de l’entreprise, les données des clients et plus

La nouvelle recherche de VPNpro démontre que Monsoon Accessorize – la société qui est derrière certaines des plus grosses marques d’habillement au Royaume-Uni, et présente en France – a utilisé des serveurs Pulse Connect Secure VPN non corrigés qui souffrent de vulnérabilités critiques. La vulnérabilité de Pulse Connect Secure (CVE-2019-11510, notée “critique”), qui remonte à avril 2019, permet à des pirates de voir tout utilisateur actif sur le VPN de l’entreprise, ainsi que leurs mots de passe en texte simple. Ils peuvent ensuite utiliser ces informations pour s’introduire dans ces serveurs à des fins malveillantes et attaquer l’entreprise ou ses clients. La menace est sérieuse : même le Département de la Sécurité du Territoire américain a lancé une alerte exhortant les entreprises à mettre à jour leurs VPN.

L’attaque sur la société de change britannique Travelex est un parfait exemple de ce que cette vulnérabilité peut causer. Un pirate a eu accès aux serveurs de la société ce qui lui a permis “déposer un ransomware sur les systèmes de l’entreprise et d’effacer les sauvegardes de données et désactiver les outils de sécurité.”

En utilisant cette vulnérabilité, nos chercheurs ont été capables d’accéder aux fichiers internes de Monsoon, incluant les informations sur leurs clients, des documents d’entreprise sensibles, les chiffres de ventes et de revenu, et plus encore.

Sur la page de leur société, Monsoon déclare avoir “plus de 620 magasins autour du monde” et “être présent dans 42 pays, sur 4 continents.” Selon des données de Statista, Monsoon Accessorize a connu un pic de ses revenus annuels à 631 millions de livres sterling en 2008 (tombant à 296 millions de livres en 2018). L’échelle des opérations de cette entreprise signifie que cette vulnérabilité pourrait avoir un large impact.

Nous avons tenté de contacter Monsoon à de multiples reprises via de multiples canaux entre le 28 mai et le 10 juin. A l’heure d’écrire cet article, nous n’avons toujours spas reçu de réponse et la vulnérabilité existe toujours.

Méthodologie

Afin d’effectuer cette recherche, nous avons scanner internet à la recherche de vulnérabilité sur des serveurs VPN. Nous avons noté que le serveur VPN Pulse Connect Secure de monsoon.co.uk était vulnérable à CVE-2019-11510.

Cette vulnérabilité nous a permis d’extraire les données de session en utilisant une URL conçue spécialement dans le panneau du client VPN sans aucun besoin d’authentification. Nous avons lancé un script qui a importé les données de session et essayé d’accéder au portail VPN avec les identifiants de session donnés. Lorsque nous étions redirigés vers l’écran d’enregistrement, cela signifiait que la session était inactive. Nous avons constamment surveillé afin de trouver des sessions actives.

Une fois qu’une session active a été capturée, nous avons importé son identifiant comme un cookie de navigateur et accéder au panneau comme un utilisateur spécifique. Nous avons récolté des informations pour confirmer que les fichiers étaient lisibles, que nous pouvions les éditer, et pour comprendre l’étendue de la vulnérabilité.

La limite de cette vulnérabilité, comme nous l’avons découvert, est qu’il faut des permissions utilisateurs élevées pour exécuter une attaque contre tous les employés.

Quelles données avons-nous découvert

Nous avons trouvé deux types de données : des données avant de pouvoir confirmer la vulnérabilité, et des données une fois que nous avons pu tester et vérifier les références que nous avions trouvées.

Données avant la confirmation :

  • Une liste de noms d’utilisateur d’employés, d’identifiants uniques, et de mots de passe chiffrés MD5
  • Informations administrateurs chiffrées
  • Connexions VPN observées, qui incluent la date, l’heure et le type d’appareil ainsi que les noms d’utilisateur et leurs mots de passe en texte simple.
  • Des cookies de session VPN, actifs et inactifs

Données à l’intérieur des serveurs internes de Monsoon

  • Données des ventes quotidiennes
  • Minutes de réunions
  • Données d’informatique décisionnelle
  • Autres documents internes
  • Les noms, emails, pays et apparemment codes magasins de 45000 clients
  • Environ 650000 carte de fidélité et numéros de coupons, beaucoup actifs jusqu’en 2021, avec les balances initiales et restantes. Selon la page de FAQ de Monsoon, les clients peuvent utiliser ces coupons en ligne pour autant qu’ils ont lié leur carte de fidélité à leur compte client
  • Un sample de fichier contenant les informations de 10000 clients, incluant leurs noms, adresses email, numéros de téléphone, et adresses mails et de facturation

Comment nous avons accédé à ces données

Nous avons utilisé une application pour rechercher des réseaux contenant certaines vulnérabilités VPN, parmi lesquelles la vulnérabilité de Pulse Connect Secure identifiée en 2019 sous l’appellation CVE-2019-11510. Cela nous a mené au serveur VPN de monsoon.co.uk. Suivant le procédé listé dans notre méthodologie ci-dessus, nous avons pu obtenir des données sensibles contenant les identifiants de connexions des utilisateurs du VPN, ainsi que des cookies de session.

 

Exemples de noms d’utilisateur et de mots de passe en texte simple

Exemples de noms d’utilisateur et de mots de passe en texte simple.

Exemple de cookies de session

Exemple de cookies de session

Une fois que nous avons obtenu ces informations, nous avons continué nos tests afin de savoir si ces données pouvaient servir ou si elles étaient insignifiantes.

Lorsque nous nous sommes rendus sur le portail VPN de Monsoon Accessorize, nous avons découvert qu’ils avaient activé l’authentification à deux facteur pour leurs connexions.

Authentification à deux facteurs Monsoon

Bien que ce soit normalement un véritable obstacle, nous avons pu le contourner grâce aux cookies de session VPN. En utilisant les cookies de session marqués **ACTIF**, nous avons été capable de convaincre le système que nous nous étions déjà connectés.

Cela nous a permis d’accéder au serveur VPN interne de Monsoon. Lorsque nous avons testé quelques cookies, nous avons noté que Monsoon avait réglé différentes permissions d’accès pour différents utilisateurs.

Utilisateur 1 :

Serveur VPN interne de Monsoon

Utilisateur 2 :

Portail d'accès à distance de Monsoon

Cependant, bien qu’ils aient pensé à mettre en place ces bonnes pratiques, ils ont malheureusement oublié de mettre à jour leur service Pulse Secure VPN pour corriger cette vulnérabilité.

Nous avons aussi été en mesure de placer des fichiers sur le serveur interne, un simple fichier texte contenant le message suivant :

Votre serveur Pulse Secure VPN est vulnérable (CVE-2019-11510). Prière de le réparer aussi vite que possible.

Contactez notre équipe de sécurité **********@vpnpro.com pour plus d’informations et explications.

Cordialement,
VPNpro

Sur toutes les sessions d’accès HTML5, nous n’avons pas réussi à nous connecter :

Windows login

Dans cette seconde session, nous avons pu accéder aux fichiers internes de l’entreprise. Les serveurs internes de Monsoon contiennent des centaines de dossiers avec vraisemblablement des dizaines de milliers de fichiers :

Dossier Informatique Décisionnelle de Monsoon :

Dans cette seconde session, nous avons pu accéder aux fichiers internes de l’entreprise. Les serveurs internes de Monsoon contiennent des centaines de dossiers avec vraisemblablement des dizaines de milliers de fichiers : Dossier Informatique Décisionnelle de Monsoon :

Informations sur les bosn d’achat clients :

Informations sur les bons d'achat clients :

Cela inclut les données de leurs clients, tels que leurs noms, adresses email, adresses de livraison, numéros de carte et plus. Même si nous étions certains qu’il y a beaucoup plus de données sensibles à trouver dans ces serveurs, nous avions alors déjà suffisamment d’informations pour confirmer l’étendue de la vulnérabilité.

Quels dommages potentiels ?

Le plus gros risque avec cette vulnérabilité est que des pirates peuvent verrouiller les serveurs avec un ransomware, comme c’est arrivé avec Travelex.

Dans ce scénario, toute opération connectée ou dépendante d’informations contenues dans ces serveurs serait stoppée jusqu’à ce que la situation soit résolue. Cela pourrait s’avérer très coûteux pour Monsoon, en fonction du prix que les pirates réclameront, ou des alternatives qu’ils pourraient employer qui dans tous les cas prendraient des jours ou des semaines.

En plus des risques de ransomwares, les pirates pourraient aussi :

  • Revendre les données de l’entreprise et de ses clients sur le marché noir
  • Utiliser les cartes de fidélité et coupons des clients, ou les revendre en ligne
  • Chercher les mots de passe des serveurs RDP par force brute et accéder aux serveurs sensibles qui auraient dû être protégés par la connexion VPN
  • En y mettant plus de temps et d’efforts : attaquer leur boutique en ligne pour installer des scripts de hameçonnage des informations de paiement, ce qui leur permettrait de voler les moyens de paiement des clients.

Avertissement

Nous avons informé Monsoon Accessorize de leur vulnérabilité à plusieurs reprises. Mais nous n’avons jamais reçu de réponse ni observé de réaction.

A partir du 28 mai, nous avons tenté de contacter Monsoon tout d’abord par email, incluant deux autres emails de suivi. Nous avons ensuite essayé de les contacter via le compte Twitter de la société le 29 mai, mais n’avons reçu aucune réponse.

Nous avons ensuite tenté de les appeler en utilisant les deux numéros de téléphone listés sur leur site web, sans succès. Enfin, nous avons contacté le Centre National pour la Cyber Sécurité britannique le 3 juin, qui se charge des problèmes de cybersécurité et peut aider à mettre en contact els pirates éthiques et les commerçants. Cependant, nous n’avons pas non plus reçu de réponse de leur part.

A l’heure de publier ces lignes, la vulnérabilité demeure et nous n’avons reçu aucune réponse de leur côté.

Recommendations

Malheureusement, en tant que client de Monsoon Accessorize, vous ne pouvez pas faire grand chose. La vulnérabilité et sa correction ne sont que de leur ressort.

Néanmoins, si vous avez partagé vos informations personnelles – nom, adresse email, numéro de téléphone ou autres – avec Monsoon Accessorize, nous vous recommandons de surveiller vos données pour vous assurer que vos informations n’ont pas fuité.

Assurez-vous qu’il n’y a pas d’activité suspecte connectée à vos comptes en ligne, tels que des tentatives de connexion depuis des emplacements qui ne vous sont pas familiers ou des emails inattendus de la part de vos institutions financières qui pourraient être des emails d’hameçonnage. Si c’est le cas, changez vos mots de passe immédiatement, et contactez votre banque pour protéger vos comptes.

 

Avertissement :
Nous enquêtons méticuleusement pour nos recherches et nous efforçons d’offrir une représentation précise à nos lecteurs. Mais après tout, nous sommes humains, et si vous pensez que nous avons fait une erreur factuelle (il ne s’agit pas de désaccord avec nos opinions ici), contactez-nous, de sorte que nous puissions enquêter et soit corriger soit confirmer les faits. Vous pouvez nous contacter en utilisant le formulaire de contact sur cette page.

Il n’y a pas encore de commentaires Pas de commentaires
Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Table des matières:
Share
Share
Thanks for your opinion!
Your comment will be checked for spam and approved as soon as possible.