Cisco met en garde contre des attaques visant des routeurs et des pare-feux
L'avertissement du groupe de Threat Intelligence Talos de Cisco fait suite à un avis du Royaume-Uni sur l'augmentation des exploits contre l'équipement réseau basé sur le périmètre.
La mise en garde publiée hier par Talos, le groupe d'intelligence sur les menaces de Cisco, fait état d'une augmentation des attaques hautement sophistiquées contre l'infrastructure réseau, y compris les routeurs et les pare-feux. L'avertissement de l'équipementier fait écho à une alerte similaire émise hier par le Centre national pour la cybersécurité du Royaume-Uni (National Cyber Security Centre, NCSC-UK), l'Agence nationale de la sécurité (National Security Agency, NSA) des États-Unis, l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) et le Federal Bureau of Investigation (FBI), lesquels font état d'une augmentation des menaces, basée en partie sur un exploit révélé pour la première fois en 2017. Cet exploit ciblait une vulnérabilité SNMP dans les routeurs Cisco, corrigée par le fournisseur en 2017. Mais, comme l'on fait remarquer Cisco et les agences gouvernementales, des exploits comparables ciblent de nombreux équipements réseau multifournisseurs, dont potentiellement, Juniper, Extreme, Allied-Telesis, HP et d'autres.
« L'avertissement ne concerne pas seulement les équipements Cisco, mais tout équipement réseau situé dans le périmètre ou avec un accès à un trafic qu'un adversaire très compétent et bien outillé pourrait avoir intérêt à intercepter et à modifier », a déclaré JJ Cummings, chef de l'équipe Talos Threat Intelligence & Interdiction de Cisco. M. Cummings dirige l'équipe Talos chargée des questions relatives aux gouvernements, aux infrastructures critiques, à l'application de la loi et au renseignement. « Nous avons observé des manipulations de trafic, des copies de trafic, des configurations cachées, des logiciels malveillants de routeurs, des reconnaissances d'infrastructures et un affaiblissement actif des défenses par des adversaires opérant sur des équipements réseau », a écrit Talos dans un blog signalant l'augmentation des menaces. « Compte tenu de la diversité des activités auxquelles nous avons assisté, les adversaires ont fait preuve d'une grande aisance et d'une grande expertise en travaillant dans les limites d'un équipement de réseau compromis », a ajouté Talos.
Les équipements vieillissants ciblés
« Les agences de renseignement nationales et les acteurs parrainés par l'État dans le monde entier constatent que l'infrastructure réseau est la cible principale », a déclaré Cisco. « Les équipements de routage et de commutation sont stables, rarement examinés du point de vue de la sécurité, souvent mal corrigés et ils offrent une grande visibilité sur le réseau », a ajouté l'équipementier. « Dans le cas présent, le message est de faire comprendre aux équipes des opérations réseaux qu'elles doivent peut-être commencer à aborder les choses un peu différemment ou au moins à être plus attentives à la sécurité, parce qu'il y a des adversaires très compétents qui ciblent leur infrastructure et que celle-ci peut, ou le plus souvent, peut ne pas avoir été contrôlée, surveillée ou mise à jour de manière significative », a encore déclaré M. Cummings. « Nous voyons beaucoup de menaces ciblant ces appareils vieillissants, et certainement obsolètes sur le plan logiciel, avec ce type d'attaques », a déclaré M. Cummings. « Ce que l'on constate aussi dans presque tous les cas auxquels je peux penser, c'est que l'adversaire dispose aussi d'un certain niveau d'accès préexistant à cet appareil, à un degré ou à un autre », a-t-il ajouté.
Plusieurs menaces spécifiques sont en augmentation, notamment :
- La création de tunnels GRE (Generic Router Encapsulation) et le détournement du trafic DNS, ce qui permet à l'acteur d'observer et de contrôler la résolution DNS ;
- La modification de la mémoire pour réintroduire des vulnérabilités qui avaient été corrigées afin que l'acteur dispose d'une voie d'accès secondaire ;
- La modification des configurations pour que l'appareil compromis se trouve dans un état qui permet à l'acteur d'exécuter des exploits supplémentaires ;
- L'installation d'un logiciel malveillant dans un dispositif d'infrastructure qui fournit des capacités supplémentaires à l'acteur ;
- Le masquage de certaines configurations pour empêcher leur affichage par des commandes normales.
Des précautions recommandées, dont la mise à jour des logiciels
« En ce qui concerne les mesures à prendre pour protéger l'infrastructure réseau, la plus importante et peut-être la plus évidente est de maintenir les logiciels à jour », a déclaré M. Cummings. « Certes, une correction des vulnérabilités et des logiciels à jour ne supprimera pas complètement le risque. Mais l'élimination de 10 CVE réduit considérablement l'empreinte de risque », a-t-il ajouté. Celui-ci recommande aussi d'accroître la visibilité sur le comportement des appareils, « parce que sans visibilité, il est difficile d'empêcher un acteur malveillant de nuire. Il est important de voir et de comprendre tout changement ou accès pouvant se produire sur l'appareil entièrement mis à jour ». De même, en verrouillant strictement l'accès à ces appareils, les attaquants auront beaucoup plus de mal à y accéder. Le blog recommande aussi de choisir des mots de passe et des Community String SNMP complexes ; d'éviter les identifiants par défaut, d'utiliser l'authentification multifactorielle ; de crypter tout le trafic de surveillance et de configuration (SNMPv3, HTTPS, SSH, NETCONF, RESTCONF) ; de verrouiller et de surveiller de manière agressive les systèmes d'authentification ; et enfin, de ne pas utiliser du matériel et des logiciels en fin de vie.