Les acteurs de la menace parrainés par l’État russe ont créé des logiciels malveillants personnalisés et les utilisent contre les anciens routeurs Cisco IOS non corrigés (s’ouvre dans un nouvel onglet)a averti un rapport conjoint américano-britannique.
Le National Cyber Security Center (NCSC) du Royaume-Uni, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) ont publié un rapport. (s’ouvre dans un nouvel onglet) dans laquelle ils déclarent qu’APT28, un groupe prétendument affilié à la Direction principale du renseignement de l’état-major russe (GRU), a développé un logiciel malveillant personnalisé nommé « Jaguar Tooth ».
Ce logiciel malveillant est capable de voler des données sensibles passant par le routeur et permet aux acteurs de la menace d’accéder par une porte dérobée non authentifiée à l’appareil.
Vol de données
Les attaquants rechercheraient d’abord les routeurs Cisco publics à l’aide de chaînes de communauté SNMP faibles, telles que la chaîne « publique » couramment utilisée, rapporte BleepingComputer. Selon la publication, les chaînes de communauté SNMP sont comme des « informations d’identification qui permettent à quiconque connaît la chaîne configurée d’interroger les données SNMP sur un appareil ».
S’ils trouvent une chaîne de communauté SNMP valide, les attaquants chercheront à exploiter CVE-2017-6742, une vulnérabilité vieille de six ans qui permet l’exécution de code à distance. Cela leur permet d’installer le malware Jaguar Tooth directement dans la mémoire des routeurs Cisco.
« Jaguar Tooth est un logiciel malveillant non persistant qui cible les routeurs Cisco IOS exécutant le micrologiciel : C5350-ISM, version 12.3(6) », indique l’avis. « Il inclut une fonctionnalité permettant de collecter des informations sur l’appareil, qu’il exfiltre via TFTP, et permet un accès par porte dérobée non authentifié. Il a été observé qu’il était déployé et exécuté via l’exploitation de la vulnérabilité SNMP corrigée CVE-2017-6742. »
Le logiciel malveillant créera alors un nouveau processus appelé « Service Policy Lock » qui rassemble toutes les sorties de ces commandes de l’interface de ligne de commande et les moissonne à l’aide de TFTP :
- afficher la configuration en cours d’exécution
- afficher la version
- présentation de l’interface show ip
- montrer arp
- afficher les voisins cdp
- montrer le début
- afficher l’itinéraire IP
- montrer flash
Pour résoudre le problème, les administrateurs doivent immédiatement mettre à jour le micrologiciel de leurs routeurs Cisco. De plus, ils peuvent passer de SNMP à NETCONF/RESTCONF sur les routeurs publics. S’ils ne peuvent pas passer de SNMP, ils doivent configurer des listes d’autorisation et de refus pour limiter les personnes pouvant accéder à l’interface SNMP sur les routeurs connectés à Internet. En outre, la chaîne de communauté doit être remplacée par quelque chose de plus fort.
L’avis indique également que les administrateurs doivent désactiver SNMP v2 ou Telnet.
Via: BipOrdinateur (s’ouvre dans un nouvel onglet)