Cisco et Fortinet valident le sérieux des Shadow Brokers, hackers de la NSA

Les deux constructeurs confirment que les codes mis en ligne par les Shadow Brokers, qui prétendent avoir piraté les hackers pro-NSA d’Equation, renferment bien des failles zero day.

S’il est difficile de savoir qui se cache derrière Shadow Brokers, organisation jusqu’alors inconnue qui affirme avoir piraté le groupe de hackers appelé Equation, il apparaît par contre évident que les premiers fichiers destinés à montrer la réalité de cette infiltration renferment bien des vulnérabilités inconnues jusqu’alors (ou zero day). Rappelons qu’Equation, un mystérieux groupe de hackers qui agit dans l’ombre depuis au moins 14 ans, est réputé proche de la NSA américaine.

Cisco, un des constructeurs ciblés par plusieurs malwares mis au jour par les Shadow Brokers, a confirmé y avoir détecté une faille sévère passée inaperçue depuis des années et touchant toutes les versions des firewalls ASA (Adaptive Security Appliance) et PIX (Private Internet eXchange). Dans une alerte, le géant des réseaux explique que la vulnérabilité permet à un assaillant de prendre le contrôle à distance des pare-feu maison. Pour exploiter la faille (CVE-2016-6366), et contrôler l’ensemble du trafic passant par le firewall, l’assaillant doit au préalable prendre la main sur un poste possédant un accès à cet équipement ou dénicher un firewall mal configuré, sur lequel les accès sont mal gérés.

Faille Cisco : une signature avant un patch

Précisons que le fichier mis en ligne par Shadow Brokers renferme non pas des détails sur cette vulnérabilité, mais bien une exploitation de celle-ci, baptisée ExtraBacon. ExtraBacon « exploite une faille de type buffer overflow sur le code SNMP (Simple Network Management Protocol) des Cisco ASA, Cisco PIX et du Cisco Firewall Services Module », avertit la société californienne dans un billet de blog. La diffusion large de ce code rend cette attaque accessible au plus grand nombre. Pour l’instant, Cisco fournit une signature permettant de détecter une éventuelle attaque de cette nature et de la contrer avant la prise de contrôle du réseau par l’assaillant. Mais doit encore fournir un patch pour sécuriser son parc installé.

ASA SNMPNotons que le fichier des Shadow Brokers renferme un second exploit, EpicBanana, reposant lui aussi sur une faille des systèmes Cisco, logée là encore dans les firewalls ASA. Mais cette vulnérabilité a été comblée dès 2011, assure le géant des réseaux.

Watchguard et Juniper aussi

De son côté, Fortinet a également confirmé la nocivité des codes dévoilés par les Shadow Brokers. Le constructeur reconnaît qu’une vulnérabilité critique affectant ses technologies se cache bien dans un des malwares mis en ligne, un logiciel appelé EgregiousBlunder. Ce dernier repose sur une faille du firmware Fortigate (FOS), dans ses versions livrées avant août 2012. « Cette vulnérabilité, si elle est mise à profit par une requête http spécialement conçue à cet effet, peut aboutir à une prise de contrôle » par un assaillant, avertit Fortinet dans une alerte. La société conseille aux entreprises concernées de mettre à jour leur firmware vers la version 5.x ou vers la 4.3.9 pour celles chez qui le passage à la version 5 s’avère impossible.

Au total, les premiers fichiers mis en ligne par les Shadow Brokers, et dont les plus récents datent de 2013, renferment 15 codes d’exploitation. Si Cisco et Fortinet ont déjà reconnu la réalité de la menace, les regards se tournent désormais vers les autres constructeurs concernés, le Chinois TopSec, mais aussi les Américains WatchGuard et Juniper. Chez ce dernier, les firewalls Netscreen sont également répertoriés dans le catalogue des codes mis en ligne par les Shadow Brokers.

Rappelons que l’OS de ces pare-feu (ScreenOS) a récemment défrayé la chronique ; Juniper reconnaissant qu’il renfermait ce que la société a baptisé pudiquement un « code non autorisé », en pratique une backdoor permettant de déchiffrer l’ensemble du trafic. Un code suspect qui a été retiré de l’OS en question en avril dernier sans que le constructeur ne s’explique sur les circonstances qui ont entouré son implémentation dans l’OS. La nature de la faille en question – logée dans un protocole adoubé par la NSA – pousse toutefois à soupçonner l’implication de l’agence américaine.

Notons que les Shadow Brokers assurent disposer d’un second fichier, qu’ils entendent vendre aux enchères cette fois. Un fichier qui renfermerait, selon ce groupe de pirates, un code inédit « meilleur que Stuxnet ».

A lire aussi :

Pour Snowden, c’est la Russie qui a piraté la NSA

Des hackers anonymes auraient piraté les hackers de la NSA

crédit photo © andriano.cz – shutterstock