Routeurs Cisco : l’attaque SYNful Knock s’avère plus répandue

FireEye faisait état « d’implants » furtifs dans au moins 14 routeurs signés Cisco, installés en Ukraine, aux Philippines, au Mexique et en Inde. Baptisé SYNful Knock, cet implant serait en fait présent dans au mois 79 équipements connectés à Internet et accessibles en IPv4. Ces appareils sont répartis dans 19 pays, mais au moins 25 d’entre eux sont installés aux Etats-Unis et « appartiennent à un seul fournisseur de service sur la Côte est » du pays, relèvent les chercheurs qui opèrent le service ZMap.

Dans un billet, ceux-ci expliquent avoir modifié ce service de sondage réseau « pour envoyer des paquets TCP SYN taillés sur mesure » pour faire réagir l’impact SYNful Knock, avant d’avoir « procédé à quatre sondages de l’espace d’adressage public IPv4 le 15 septembre ». Pêle-mêle, trois routeurs compromis ont été identifiés en Chine, deux en Allemagne, un au Royaume-Uni, cinq autres en Inde, douze au Liban, ou encore huit en Russie.

FireEye explique que SYNful Knock consiste en « une modification furtive de l’image du firmware du routeur qui peut être utilisée pour maintenir une persistance sur le réseau d’une victime », y compris après redémarrage. Et de décrire cet implant comme « personnalisable et modulaire par nature, et pouvant être mise à jour après son installation ».

De base, SYNful Knock offre une porte dérobée à la console du routeur et à son interface telnet. Mais des modules complémentaires « peuvent se manifester comme du code exécutable indépendant, ou s’interfacer avec iOS [le système d’exploitation du routeur] ». Des modules qui, eux, résident dans un espace de mémoire volatile et ne profitent pas de capacités de persistance.

Dans un premier billet de blog consacré à cet implant furtif, FireEye soulignait que « trouver des portes dérobées sur son réseau peut être difficile ; trouver un implant dans un routeur, encore plus ». Cisco a publié une règle pour Snort [l’IPS/IDS de Sourcefire, racheté par Cisco en juillet 2013, NDLR] afin d’aider à détecter les attaques reposant sur SYNful Knock.

Mais FireEye va plus loin. Dans un second billet de blog, il détaille désormais les indicateurs de compromission à chercher, directement sur l’équipement, ou en s’appuyant sur un sondage du réseau. Et de rappeler que les équipements Cisco intègrent des capacités de vérifier de l’intégrité des images IOS, décrites dans un guide dédié.