Cisco Smart Install : l’heure des attaques a sonné

Les attaques mettant à profit une vulnérabilité – référencée CVE-2018-0171 – affectant certains commutateurs Cisco ne semblent plus être hypothétiques. Le ministre iranien des technologies de l’information, Azari Jahromi, vient en effet d’indiquerque 3 500 d’entre eux, dans le pays, venaient d’en être victimes. Ce 6 avril, dans la nuit, il assuraitsur Twitter que plus de 95 % des équipements réseau affectés avait retrouvé un état de production.

D’autres témoignages ont fait état d’incidents comparables. Les attaquants semblent avoir profité de l’exploitation de la vulnérabilité pour laisser un message à l’intention des administrateurs des équipements concernés. L’exécution d’un script d’installation altéré déclenche l’affichage de la phrase « Don’t mess with our elections » - « n’interférez pas avec nos élections » -, accompagnée d’un drapeau des Etats-Unis.

Dans un billet de blog, les équipes de Kaspersky expliquent estimerque les attaquants pourraient avoir utilisé un automate cherchant les commutateurs Cisco potentiellement vulnérables via le moteur de recherche spécialisé Shodan. Vendredi dernier, le moteur de recherche spécialisé Shodan recensait près de 166 700 routeurs Cisco exposant leur service Smart Install sur Internet, dont 4 359 en France. En ce lundi 9 avril, on en compte encore plus de 164 500, dont 4 302 dans l’Hexagone. Mais il n’est pas possible de dire combien d’entre eux sont vulnérables.

Depuis peu, Cisco propose un correctif pour les versions d’IOS et d’IOS Xe capables de faire fonctionner le service Smart Install conçu pour simplifier les déploiements. La vulnérabilité concernée permet de forcer l’exécution de code à distancesur les équipements affectés.

Dans un billet de blog publié la semaine dernière, les équipes Talos de Cisco indiquaient avoir ressentile besoin d’appeler les clients de l’équipementier à se mobiliser face à une menace antérieure, mais tout aussi réelle.

Elles ont déjà alerté sur cette menace en février 2017, expliquantalors que « des acteurs malicieux pourraient tirer profit d’une connaissance détaillée du protocole Smart Install pour obtenir des copies de configurations clients sur des équipements affectés ». Pire encore, cette connaissance peut même conduire au remplacement de l’image IOS et à l’exécution de commandes IOS.

Depuis, Cisco distribue, sur GitHub, un outilpermettant de détecter les systèmes affectés dans son infrastructure, ainsi qu’une règle devant assurer la production d’alertes par le système de détection d’intrusions (IDS) Snort en cas d’activités suspectes.

В чатике коллеги по цеху делятся пятничным дерьмом #CVE_2018_0171 #Cisco #RCE pic.twitter.com/zIV73w1Wpu

— 0xFF (@xnetua) April 6, 2018

Mi-mars, le ministère américain de l’Intérieur (DHS) et le FBI produisaient un rapport consolidé sur les activités attribuées au groupe Dragonfly/Energetic Bearet visant les opérateurs d’infrastructures critiques occidentaux, dans le domaine de l’énergie, notamment. Ce que ne disait pas le rapport, c’est que certaines attaques avaient « impliqué le détournement du protocole Smart Install ».

Phil Neray, vice-président de CyberX, s’interroge : cette attaque sur les commutateurs iraniens « pourrait-elle être le premier exemple d’une nouvelle approche plus active du Cyber Command US, ou est-ce une opération de leurre conduire par un groupe malveillant ? »