Une attaque furtive vise les routeurs Cisco

Les routeurs Cisco sont une nouvelle fois la cible d’attaquants. FireEye vient en effet de révéler l’existence « d’implants » furtifs dans au moins 14 routeurs de l’équipementier installés en Ukraine, aux Philippines, au Mexique et en Inde.

Cet implant est baptisé SYNful Knock par FireEye. Il consiste en « une modification furtive de l’image du firmware du routeur qui peut être utilisée pour maintenir une persistance sur le réseau d’une victime », y compris après redémarrage. Et de décrire cet implant comme « personnalisable et modulaire par nature, et pouvant être mise à jour après son installation ».

Pour assurer sa furtivité, SYNful Knock utilise le protocole http, sans même chercher à se cacher dans un flux chiffré, et en s’appuyant sur « des paquets TCP spécialement construits et envoyés aux interfaces du routeur. Ces paquets affichent une séquence non standard ». De base, SYNful Knock offre une porte dérobée à la console du routeur et à son interface telnet. Mais des modules complémentaires « peuvent se manifester comme du code exécutable indépendant, ou s’interfacer avec iOS [le système d’exploitation du routeur] ». Des modules qui, eux, résident dans un espace de mémoire volatile et ne profitent pas de capacités de persistance.

FireEye souligne que « trouver des portes dérobées sur son réseau peut être difficile ; trouver un implant dans un routeur, encore plus ». Mais Cisco ne joue pas l’autruche. L’équipementier a coopéré avec FireEye et reconnaît une forme d’attaque qui « n’exploite pas de vulnérabilité », mais « requiert des identifiants d’administration valides ou un accès physique à l’appareil de la victime ». Surtout, Cisco a publié une règle pour Snort [l’IPS/IDS de Sourcefire, racheté par Cisco en juillet 2013, NDLR] afin d’aider à détecter les attaques reposant sur SYNful Knock.

En fait, SYNful Knock apparaît être la mise en œuvre d’une menace révélée début par Cisco. Le mois dernier, l’équipementier a ainsi publié une notice d’information où il explique avoir « observé un nombre limité de cas où les attaquants, après avoir obtenu les droits d’administration ou un accès physique à un appareil Cisco IOS, ont remplacé le ROMMON Cisco IOS [l’image de démarrage permettant le chargement du système d’exploitation, NDLR] par une image malicieuse ».

SYNful Knock concerne les anciens modèles Cisco 1841, 2811, et 3825. Surtout, son implantation nécessite que la sécurité physique de l’infrastructure soit initialement compromise, ou l’hermétisme des processus d’accès logique aux équipements réseau Cisco soient défaillants.

Le mois dernier, Bruce Schneier estimait que le problème était « sérieux ». Et pour l’expert, « s’il n’y a pas d’indication de qui est à l’origine de ces attaques, c’est exactement le genre de choses que l’on attendrait d’un gouvernement ».