Infrastructures critiques : le protocole Cisco Smart Install visé par les attaquants

Mi-mars, le ministère américain de l’Intérieur (DHS) et le FBI produisaient un rapport consolidé sur les activités attribuées au groupe Dragonfly/Energetic Bear et visant les opérateurs d’infrastructures critiques occidentaux, dans le domaine de l’énergie, notamment. Ce que ne disait pas le rapport, c’est que certaines attaques « ont impliqué le détournement du protocole Smart Install ».

Depuis peu, Cisco propose un correctif pour les versions d’IOS et d’IOS Xe capables de faire fonctionner le service Smart Install conçu pour simplifier les déploiements. La vulnérabilité concernée permet de forcer l’exécution de code à distance sur les équipements affectés. Mais elle ne fait qu’ajouter au risque !

Dans un billet de blog, les équipes Talos de Cisco ont ressenti le besoin d’appeler les clients de l’équipementier à se mobiliser face à une menace antérieure, mais tout aussi réelle. Elles ont déjà alerté sur cette menace en février 2017, expliquant alors que « des acteurs malicieux pourraient tirer profit d’une connaissance détaillée du protocole Smart Install pour obtenir des copies de configurations clients sur des équipements affectés ». Pire encore, cette connaissance peut même conduire au remplacement de l’image IOS et à l’exécution de commandes IOS.

Depuis, Cisco distribue, sur GitHub, un outil permettant de détecter les systèmes affectés dans son infrastructure, ainsi qu’une règle devant assurer la production d’alertes par le système de détection d’intrusions (IDS) Snort en cas d’activités suspectes.

Mais manifestement, tous les clients de Cisco n’ont pas pris les mesures préventives requises pour protéger leurs environnements. Ainsi, les équipes Talos expliquent aujourd’hui que « entre la fin 2017 et le début 2018, [elles ont] observé des attaquants essayer de détecter des clients concernés par cette vulnérabilité ». Elles ajoutent au passage que des démonstrateurs sont disponibles pour l’exploitation de la toute dernière vulnérabilité affectant Smart Install. Ce qui n’était pas le cas il y a encore une semaine.

En ce vendredi 6 avril, le moteur de recherche spécialisé Shodan recense encore près de 166 700 routeurs Cisco exposant leur service Smart Install sur Internet, dont 4 359 en France. Outre l’application des correctifs appropriés, les équipes Talos rappellent comment protéger le service Smart Install. Il n’y a plus qu’à espérer que le nécessaire ait été fait pour les commutateurs exposés.