WavebreakMediaMicro - Fotolia

Compromission de déploiements du Web VPN de Cisco

Veloxity a découvert des déploiements du service Web VPN de Cisco compromis par des pirates. A la clé, pour ces derniers, les identifiants des utilisateurs une vaste d’entrée sur le système d’information.

Les services de VPN Web SSL sont communs et pratiques : ils ne nécessitent pas de client logiciel spécifique pour accéder, via un tunnel chiffré, aux ressources du système d’information. Pour les utilisateurs, c’est généralement transparent : il suffit de saisir son identifiant dans une page Web dédiée.

A l’instar de F5 Networks, notamment, Cisco propose également à ses clients de déployer ce type de service. Mais Veloxity a découvert des déploiements compromis. Une mine d’or pour les attaquants qui peuvent ainsi accéder aux identifiants des utilisateurs et profiter des clés du royaume. Ce qui renvoie à une méthode d’attaque visant Outlook Web Application, récemment découverte.

Dans un billet de blog, Veloxity décrit plusieurs méthodes d’attaque permettant de compromettre la page Web d’authentification du service de VPN SSL de Cisco.

Et cela commence par une vulnérabilité dans le framework de personnalisation de cette page Web, susceptible de permettre à un attaquant non authentifier de modifier le contenu de cette page clé.

Un correctif est disponible, mais des entreprises ayant tardé à le déployer ont été compromises, dans les secteurs de la santé, de l’éducation, ou encore de la fabrication. Des think tanks et des ONG ont également été concernées.

D’autres cas de compromission ont été observés. Mais ils semblent plutôt être liés au détournement de comptes à privilèges sur les appliances Cisco ASA. Un contrôle trop lâche de l’accès à l’interface d’administrateur pourrait être là en cause. Veloxity où chercher des altérations du portail Web dans l’interface d’administration.

Et de relever que, si l’authentification à facteurs multiples peut renforcer la protection des accès au système d’information, il n’empêche pas forcément le vol d’identifiants. Et qui peut affirmer avec certitude que l’authentification à double facteur est bien active sur tous ses systèmes accessibles de l’extérieur ?

En outre, Veloxity explique que le code malicieux du portail Web VPN peut être modifié pour dérober les cookies de session. Et, selon ses tests, « il est possible d’avoir deux connexions simultanées Cisco Web VPN avec les mêmes cookies de connexion ». Sans compter le risque de vol de jeton OTP…

Pour approfondir sur Menaces, Ransomwares, DDoS

Close