Une faille Shadow Brokers exploitée par des hackers : Cisco a-t-il bâclé le boulot ?

Politique de sécuritéRéseauxSécurité
4 62 Donnez votre avis

Des hackers ont récupéré un code d’exploitation de la NSA, mis en ligne par les Shadow Brokers, pour attaquer de nombreux matériels de Cisco. Un Cisco qui semble réagir tardivement à une menace soulevée dès la mi-août.

Cisco se pensait-il débarrassé des Shadow Brokers, ce groupe de hackers mystérieux qui a piraté la NSA et mis en ligne certains des fichiers récupérés ? Même si le géant des réseaux a récemment livré des patchs pour les vulnérabilités mises au jour lors de cette affaire, il est aujourd’hui obligé de reconnaître que d’autres technologies maison, en l’occurrence de très nombreuses versions de ses systèmes d’exploitation IOS, IOS XE et IOS XR, sont vulnérables à un des codes d’exploitation mis à disposition sur le Net par les Shadow Brokers. Non seulement la faille touche de très nombreux produits de la marque – probablement des centaines de milliers de routeurs, switches et pare-feu -, mais elle est déjà activement utilisée par des assaillants pour mener des attaques, prévient Cisco dans un bulletin de sécurité.

La vulnérabilité se loge dans IKE (Internet Key Exchange), un des protocoles utilisés dans le cadre du standard de sécurisation des communications IP IPsec. En l’exploitant, un assaillant peut siphonner à distance la mémoire des appliances affectées (soit de multiples produits sous l’OS maison IOS ainsi que les firewalls PIX) pour tenter d’y récupérer des données sensibles, comme des clefs de chiffrement RSA ou des informations de configuration.

Ni patch, ni mesure temporaire

« La vulnérabilité est due à des contrôles insuffisants dans la partie du code gérant les requêtes de négociation des paramètres de sécurité d’IKEv1, précise la firme dans son bulletin de sécurité. Un assaillant peut exploiter cette vulnérabilité pour envoyer des paquets IKEv1 spécialement conçus à une machine configurée pour accepter les requêtes de négociation de sécurité IKEv1 ». Et la liste des machines concernées est impressionnante : toutes celles animées par IOS XR (des versions 4.3.x à 5.2.x), par IOS XE (toutes versions) et par une multitude de versions d’IOS (entre 12.2 et 15.6, le détail figurant dans le bulletin). S’y ajoutent les versions de PIX antérieures à la 7.0 (rappelons toutefois que cette ligne de produits n’est plus supportée par Cisco… depuis 2009). Pour l’instant, Cisco indique travailler sur un patch et admet qu’aucune mesure temporaire ne permet de stopper ou freiner l’attaque. En attendant de produire le correctif, le géant des réseaux conseille aux administrateurs de mettre en œuvre une sonde de prévention d’intrusion ou de détection d’intrusion (respectivement IDS et IPS).

BenignCertain pris trop à la légère ?

Surtout cet épisode douloureux pour Cisco pose la question du sérieux avec lequel le géant des réseaux a examiné les révélations des Shadow Brokers, le 15 août dernier. Si l’alerte de Cisco découle, selon les affirmations de la société, du travail d’une de ses équipes internes, elle intervient bien tard. Après la récupération du code d’exploitation par des pirates. Remarquons que, si Cisco a déjà reconnu la réalité de la menace que représentent les outils de hacking dévoilés par les Shadow Brokers, la société américaine a eu plutôt tendance à minimiser les conséquences de ces failles zero day, notant qu’elles affectaient des produits anciens.

Ce fut précisément le cas avec le code d’exploitation qui menace aujourd’hui une large partie de ses gammes de routeurs, autocommutateurs et pare-feu. Dénommé BenignCertain, cet exploit avait été détaillé et testé par divers chercheurs dès la mi-août. Mais ces derniers pensaient alors que la technique se limitait aux machines PIX, une génération de produits dépassée de pare-feu Cisco. Le 19 août, ce dernier confirmait que l’attaque affectait les versions 6.x et antérieures des PIX. Mais le géant des réseaux expliquait alors : « notre enquête n’a pour l’instant pas identifié de nouvelles vulnérabilités relatives à cet exploit dans les produits actuels ». Cisco aura finalement eu besoin d’un mois pour les identifier…

De nombreux spécialistes pensent que les codes made in NSA lâchés dans la nature étaient là pour empoisonner durablement la vie des RSSI. Sur la base d’un autre code d’exploitation ciblant les pare-feu Cisco (ExtraBacon), des chercheurs de la société hongroise Silent Signal ont ainsi déjà montré qu’il était possible d’en étendre la portée à des générations de machines plus récentes que celles ciblées à l’origine. ExtraBacon avait été adapté à la version 9.2(4) des firewalls ASA (Adaptive Security Appliance) de Cisco, alors que seules les moutures antérieures à la 8.4(4) étaient censées être vulnérables.

A lire aussi :

10 questions pour comprendre l’affaire Shadow Brokers

Juniper reconnaît (enfin) une faille mise au jour par les Shadow Brokers

Crédit photo : adike / shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur