La société de sécurité FireEye a publié un bulletin d’information sur le piratage de plusieurs routeurs Cisco. L’attaque a pu visiblement se produire à cause d’un manque de vigilance des administrateurs réseaux concernés. Pour Cisco, qui a confirmé le problème, l’opération témoigne d’une évolution dans les méthodes utilisées par les pirates.
Les routeurs sont des éléments clés dans les infrastructures réseaux. Ils sont des portes d’entrées et sorties pour les données, souvent situés entre le réseau d’une entreprise et Internet. Leurs éventuelles failles sont du pain béni pour les pirates, et on rappellera comment les documents dérobés par Edward Snowden ont montré que la NSA était particulièrement intéressée par ces brèches. Exploitées, elles peuvent permettre d’en prendre le contrôle et donc de décider ce qui arrivera aux données qui y transitent.
Pas besoin de failles quand on possède les bons identifiants
Mais une faille de sécurité n’est pas forcément nécessaire pour pirater efficacement un réseau. Lors d’une attaque visant l’appropriation de données, les routeurs doivent pouvoir être contrôlés. Or, pour y parvenir, il n’existe que deux moyens : forcer les protections ou disposer des bonnes clés. Dans le cas abordé par FireEye, les pirates possédaient ces clés. Ils n’ont même pas eu besoin de chercher longtemps puisque les mots de passe avaient soit été inchangés, soit remplacés par d’autres très simples à deviner. Une histoire qui n'est pas sans rappeler le cas de certaines bases de données MongoDB au début de l'année.
Dans un rapport, FireEye indique ainsi que 14 routeurs, répartis dans quatre pays (Ukraine, Philippines, Mexique et Inde), ont vu leur configuration changée via des implants réalisés par des personnes extérieures. Les pirates ont en fait utilisé une fonctionnalité que Cisco décrit comme parfaitement documentée, et pour cause : il s’agit du mécanisme de mise à jour des firmwares.
Remplacer le firmware par une version malveillante
Dans le cas des routeurs trafiqués, le firmware s’appelle ROMMON, pour ROM Monitor. Les pirates ont donc préparé un nouveau système d’exploitation, nommé SYNful Knock, capable d’être piloté à distance et d’opérer à couvert. Avec les bons identifiants, ils ont pu utiliser la fonctionnalité de mise à jour et remplacer le firmware de base par celui qu’ils avaient trafiqué et qui était donc malveillant. Même sans exploitation de faille, le problème est selon FireEye assez sérieux : « L’impact en cas de découverte de cet implant sur votre réseau est sévère et indique probablement la présence d’autres implantations ou systèmes compromis. Cette porte dérobée fournit une large capacité pour l’attaquant à propager [la menace] et à compromettre d’autres systèmes et données critiques […] ».
Pour FireEye cependant, même si les pirates ont exploité une fonctionnalité parfaitement documentée, le résultat et les implications d’un firmware modifié pointent vers une équipe professionnelle, ayant une grande expérience de ce type de manipulation. Le rapport ne mentionne pas à qui appartiennent les routeurs, s’il s‘agit d’entreprises ou de structures publiques et/ou gouvernementales. Il y a clairement volonté de maitriser l’information à ce sujet.
Un firmware roi en sa demeure
On sait néanmoins que les 14 routeurs étaient tous l’un des trois modèles suivants : 1841, 2811 et 3825. Cependant, à cause de grandes similitudes entre les firmwares qui peuvent exister entre les modèles, FireEye indique que d’autres produits peuvent être touchés. Par ailleurs, le fonctionnement du firmware modifié est lui aussi connu. Sa première mission est de télécharger depuis différentes sources des modules complémentaires qui seront utilisés pour réaliser la suite des opérations. Il fournit également un accès complet dès lors que l’on possède le mot de passe de la porte dérobée. Les pirates ont donc la main et peuvent piloter le routeur via une console et Telnet.
Évidemment, firmware oblige, il est délicat de repérer l’activité et de s’en débarrasser facilement. Un redémarrage n’y change rien puisque le système est simplement rechargé, avec tous ses modules. D’autant qu’une fois le contrôle assuré sur le routeur, les pirates disposent d’une position privilégiée pour s’en prendre au reste du réseau, y compris les serveurs.
En fait, le vrai danger selon FireEye est que ce type d’attaque a bien été envisagé, mais qu’il s’agit de l’une des premières fois où l’on en voit une exploitation concrète. Conséquence, les chercheurs n’ont que peu de retours et d’informations, sinon celles liées à cette attaque spécifique. Il est donc recommandé aux administrateurs réseaux de vérifier la configuration de leurs routeurs, au minimum pour s’assurer que le mot de passe est suffisamment fort pour ne pas être trouvé aisément.
D'autant que le problème est visiblement plus important. Dans un récent article, Ars Technica indique qu'une équipe de chercheurs a modifié l'outil de scanner réseau open source Zmap pour lui faire envoyer des packets TCP SYN spécialement conçu. Ils ont découvert en effet que le firmware malveillant possédait une empreinte qui pouvait donc être recherchée. Quatre analyses ont été lancées sur l'ensemble de l'espace d'adresses IPv4 et 79 routeurs affectés ont été trouvés, répartis dans 19 pays, et dont 25 appartiennent à un unique fournisseur d'accès américain de la Côte Est.
Pour Cisco, le travail est à faire du côté des clients
Du côté de Cisco, on indique que la Product Security Incident Response Team (PSIRT) a averti récemment les clients concernés du problème. La société confirme bien la découverte de FireEye, qui illustre en fait une situation décrite il y a plus d’un mois, à l’occasion d’un billet de sécurité sur cette thématique. Cisco y abordait justement la manière dont les attaques avaient évolué contre son système d’exploitation IOS, que l’on trouve dans ses routeurs. Dommage cependant que ni le constructeur, ni FireEye n'aient indiqué depuis combien de temps ces firmwares étaient installés.
Pour Cisco, il est évidemment important de signaler qu’aucune faille de sécurité n’est exploitée dans ce type d’attaque. Sans réellement le dire de manière trop brutale, l’entreprise souligne qu’un pirate qui voudrait remplacer le firmware aurait besoin d’un accès physique au routeur ou... d’identifiants valides. Elle fournit également plusieurs documentations techniques (1, 2 et 3) abordant la manière de s’assurer de l’intégrité d’un équipement, les techniques pour renforcer la sécurité ou encore les méthodes pour détecter un comportement suspect et comment s’en débarrasser.
Enfin, FireEye semble certain de son côté que ce vecteur d’attaque n’en est qu’à ses débuts et que les cas d’utilisation ne peuvent que se multiplier. Les bénéfices sont assez importants selon le découvreur, permettant une grande flexibilité dans les actions entreprises, tout en garantissant un haut niveau de furtivité. L’ensemble des structures possédant de tels équipements doit donc s’adapter, mais le problème renvoie finalement à la manière globale dont la sécurité est envisagée, les systèmes étant souvent victimes d’un manque de préparation ou d’une faille humaine.
Commentaires (91)
#1
WOW ! si les mecs commencent a manipuler les firmwares de routeurs, on est pas sorti de l’auberge…
Faut deja avoir de sacrés moyens pour faire ce genre de chose…
#2
Tant qu’il restera un facteur “utilisateur”, il restera de toute façon des moyens de pirater…
Que ça soit par flemme, ou par obligation (mais si ouvre ces ports en sortie c’est chiant sinon!) ou par oublis…
Mais il est clair que faire un firmware modifié quand même? C’est du sacré boulot.
Le firmware est opensource?
Il n’y a pas de vérification de la légitimité du firmware? (signature)
#3
On a les noms des boulets?
" />
#4
Non, IOS, c’est du code proprio
#5
Pfiou.. déjà qu’on pouvait pas faire confiance aux FAI à cause des divers patriot act / magouilles marketing, et maintenant c’est le réseau technique lui même qui est compromis…
#6
Etonnant, ça me rappelle cette volonté de la FCC concernant les firmware des appareils qui peuvent faire du wifi. hackaday.com/2015/09/02/save-wifi-act-now-to-save-wifi-from-the-fcc/
Cisco, partenaire de la FCC ?
#7
#8
Je n’ai jamais compris les mots de passe par défaut partout.
Tant que l’appareil n’est pas configuré le mot de passe (et le user?) devrait être généré aléatoirement et fourni à la première demande d’authentification (elle sans mot de passe). Cela éviterait que le souci du c’est pas ma faute c’est le client, qui n’a pas changé le mot de passe.
#9
Et il marche mieux?
" />
" />
#10
“Dommage cependant que ni le constructeur, ni FireEye n’aient indiqué depuis combien de temps ces firmwares étaient installés.”
Quand tu prends connaissance d’une faille , “les malveillants” sont déjà en train d’en exploiter une autre … simple non ?
iOS a déjà été victime de faille beaucoup plus grave que cette dernière (qui n’en n’ai pas réellement une) : revoir l’année 2003 , là c’était du très lourd !
#11
vive le code proprio !
" />
#12
Cela indique surement qu’il ont accès au devkit cisco (comment ??? là y’a une grosse question …) et sont capable de produire une version iOS customisé …(à moins que ce ne soit une feature fournit par cisco … gros doute)
#13
Non, vive les feignasses qui laissent une config par défaut surtout !
" />
#14
#15
Ça ou un autocollant sur l’engin.
De toute façon, un couple d’identifiants unique.
La minute d’histoire:
Dans les formations NetWare, il était bien dit de changer non seulement le mot de passe, mais aussi le nom du compte d’aministration avant de connecter le serveur au réseau.
#16
Les ports des pare-feux : la belle blague !
on passe ce qu’on veut dans du HTTP/S
#17
…. aussi.
Mais si les gars doivent et gérer le réseau , et le superviser (si ils le font , dans ce cas j’en doute) et s’occuper des serveurs , et faire la hot line … tu les blâmes toujours toi ? moi pas.
#18
Si l’admin ne fait pas une commande verify pour vérifier au moins que le fichier uploadé est correctement uploadé, alors malheur à lui !
L’interface chaise clavier est encore une fois au coeur du problème ^^
#19
Se poser les bonnes questions …
Si ils ont pu produire un firmware (le mettre en place c simple) deux questions :
Voilà 2 questions intéressante … (réfléchir)
#20
Et donc si chaque routeurs avait une configuration unique, ce serait moins grave que ces gars soient débordés.
Évidemment, ça ferait des frais pour Cisco, les pauvres…
#21
#22
réponse vite fait, on n’en sait rien.
#23
Ah bah sinon tu peux prendre des routeurs Juniper ou Huawei… Avec des OS proprio aussi
" />
" />
(a vérifier cependant pour Huawei, mais à priori je vois mal pourquoi il mettrait du libre). Et oui, c’est un problème assez sérieux de n’avoir que du proprio pour les gros routeurs
#24
je sais.
#25
#26
#27
#28
Poiur l’avoir vécu c’est souvent CISCO qui demande pour des raison de support de garder un mot de passe par défaut (pas forcément celui de base) sur tous les routeurs et de ne pas en changer sinon il ne garantissent plus le support d’urgence (en gros il ne seront plus capable de se connecter rapidement aux routeurs) Et ça en termes sécu c’est un GROS problème.
#29
#30
c’est quoi la différence entre faire un firmware pour routeur cisco, et faire un firmware custom pour ps3
#31
#32
S’ils sont traités comme des esclaves par la direction, je ne les blâmerait pas. Mais changer un mot de passe, ça prend 15 sec à faire (estimation au doit mouillé, si je me trompe, désolé), ils n’ont aucune excuse s’ils ne le changent pas.
#33
Aucune si ce n’est que le matériel d’une console est assez statique. Sur un routeur type FAI, il sont plus gros et modulaire. Aussi les firmware sont prévus pour les législations locales. A une époque lointaine tu devais acheter une option SSH parce qu’en france on ne pouvait pas faire du SSH 256bits. Bref a part le matériel et sa maitrise c’est pareil que de faire un OS. D’ailleurs “IOS”.
#34
Me fait penser à la fois où j’ai ramené une Livebox, après avoir personnellement fait des tests qui pointaient vers un problème matériel dans la partie Wifi. Surprise de la personne en boutique chargée de passer les tests de routine: Le mot de passe administrateur avait été changé.
#35
Là on est clairement dans le périmètre facteur Humain.
L’équipement est mal configuré => Facteur humain
L’accès se fait via des MDP facilement traovuable => Facteur Humains
Un changement de firmeware sur Cisco impose quand même un redémarrage, et dans les log c’est clairement visible que le redémarrage aurait été imposé via une commande de type Restart
=> Facteur humain par mauvaise supervision de parc
Ensuite modifié un firmware c’est pas comme aussi simple que ça ….
#36
#37
il voulait probablement dire IOS
#38
encore faut-il avoir les logs ^^
suis pas expert en réseau, mais chez nous sans serveur syslog les amins réseaux sont presque aveugle tellement il n’y a pas de rétention sur les switch/routeurs
#39
Et dire que tout le monde se paluche sur la société des objets connectés… Ça promet!!!
#40
#41
ben si.(ios cisco)
la preuve :http://cert.ssi.gouv.fr/site/CERTA-2003-AVI-114/index.html
#42
oui : ça promet !
Surtout avec les économies de fonctionnement demandées à tous les étages d’une DSI , ca promet !!
#43
c’est clair : un sinistre en sécurité reste un sinistre … log ou pas log (quand y’en a d’exploitable !)
#44
Oui pas de rétention et très peu d’info en terme de logs (quand il y en a) car les routeurs sont vite surchargé si tu met le niveau max de verbosité. Ils ne sont pas conçus pour ça.
#45
j’ai déjà dit et je redis … internet n’a pas été conçu pour la sécurité. Mais pour le partage des informations et un passage coute que coute de l’information . C’est de part sa conception.
#46
Valable aussi pour Zyxel et son ZinOS.
#47
Quoi ????
" />
Nimd@ c’est pas un super mot de passe ???
Moi ça ne m’étonnes qu’à moitié.
J’ai déjà rencontré du admin/admin sur des 4948 chez mes clients
#48
Rien de mieux qu’un bon firmware open-source type DD-WRT. Au moins à la première ouverture de la page de configuration, on est forcés à changer à la fois login et mot de passe administrateur.
#49
Que ce qui est appelé le “devkit” de Cisco (ou plus simplement le code source de IOS & co) soit dans la nature, j’y crois pas. (c’est jamais impossible, mais je n’y crois pas).
Y’a beaucoup plus simple ; le reverse engineering, ça existe. L’IOS n’a pas été chamboullé en profondeur. Ils se sont contenté de rajouter 1 ou 2 fonctionnalitées précises qui les arrangeaient.
Suffisait de rajouter des greffons sur des fonctions précises préexistante. Même avec une base en assembleur tu peux toujours remonter si tu vises les bons endroits.
Ca me parait nettement plus probable que le code source de cisco en open bar.
#50
Ouai, même réflexe quand j’ai vu le titre de l’article.
Ou alors les “pirates” (hackers) sont de la FFC et ont voulu montrer que c’est possible, même si “il s’agit de l’une des premières fois où l’on en voit une exploitation concrète”.
Bref, c’est quand même troublant que ça tombe à a peine une semaine d’intervalle…
#51
Aucun rapport avec le libre…
Et d’ailleurs sur les cisco sg/sf tu dois aussi changer le mot de passe par défaut à la première connexion…
Sur du matos plus lourd comme les catalyst et supérieur, la gestion de la sécurité est “déléguée” à l’utilisateur qui n’est pas sensé être une quiche…
#52
#53
#54
c’est un Unix (bsd ou dérivé) dessous, j’en avais parlé avec les gars de Villeurbanne (Lyon) à l’époque ou je me servait de leur matos de prêt pour donner des cours sur le paramétrage et le déploiement de parefeu.
#55
#56
#57
Concnerant Zyxell (du matos sympa) mais …
https://rootatnasro.wordpress.com/2014/01/11/how-i-saved-your-a-from-the-zynos-r…
#58
admin / admin ?
#59
A propos de routeur :
Savez-vous comment virer sa livebox play tout en concernant la tv (via sat) , vod et le phone IP ? (je peux pas aller chez free sinon je perds le VDSL 60Mbits)
#60
Il n’y a pas un mot de passe unique pour tous les clients…
" />
Et c’est toujours pareil : si tu veux qu’un tiers te supporte, il lui faut bien les accès pour intervenir rapidement… confiance.
#61
#62
Ca fait donc -1000 pour catseye.
#63
#64
#65
Quand je vois les problèmes chez les firmware pro, j’ose à peine imaginer la passoire que doit-être OpenWRT
#66
C pas trop touchy les vlan à configurer avec orange ?
(je suis hs désolé)
en gros si je fous un modem zyxel (VDSL) cela pourrai le faire ?(pas de souci pour la conf d’un fw ou du réseau pour moi)
#67
#68
Sur le sujet beaucoup se trompent de combat.
Le pb. ne vient pas de CISCO et de ses IOS (oui c’est IOS pour internet operating System ; nom qui est la propriété de Cisco et Apple emploi imporprement depuis …), mais la (mauvaise) configuration de ces derniers par leurs PROPRIETAIRES.
niveau config. les accès et les privilèges se paramètrent avec la même philo que tout systeme Unix : User et super User. etc.
La sécurisation des accès des consoles Vty peut aller très long ; Mais il faut bien y réfléchir.
J’ai beau avoir une super alarme avec camera et tout et tout, si je laisse “0000” comme code pour accès aux fonctions évoluées, faut pas que je m’étonne d’être “visité”…
#69
Voici un peu de doc :https://lafibre.info/adsl/modem-tiers-compatible-vdsl2/
Les modems de Zyxel sont apparemment compatibles. Et coté Vlan c’est apprement pas trop complexe d’ailleurs celui utilisé pour le net c’est le 835 (héritage de l’ADSL avec les VP/VC 8⁄35)
Y’a un sujet sur le forum qui devrait t’aider :http://forum.nextinpact.com/topic/166448-utiliser-son-propre-routeur-pour-la-fib…
C’est pour la fibre, mais c’est la même config pour le VDSL2. Par contre il semble qu’il y est des problème avec la VOIP (c’est le truc le plus compliqué à faire marcher).
#70
Perso, c’est plutôt dans les grosses boîtes (avec pleins d’intervenants/consultants) que j’ai vu les plus belles configs “passw0rd” ou les mots de passe envoyés par EMail (pour que tous les gars du support l’aie au cas où)…
" />
Mais bon, chacun ses expériences
#71
Merci Renaud, c’est ce que j’avais cru lire sur la voip … et ca, cela va etre dur de m’en passer .
#72
oui c bizarre mais en province on a ca : dslam fibré , proposant du vdsl mais pas de tv par adsl(vdsl), j’ai du poser une parabole.
#73
Je viens de creuser un peu plus le problème de la VOIP et en plus de ne pas dévoiler les info SIP (ce qu’on savait), orange utilises une méthode d’authentification modifiée ! Et c’est quasiment impossible à faire marcher sans la LB sauf modifs et recherches avancées.
" /> 
" />
Voici un article très intéressant (et un boulot titanesque derrière) :http://x0r.fr/blog/36 ainsi que celui- cihttp://x0r.fr/blog/37 pour avoir une solution.
Franchement chapeau bas pour le boulot accompli
#74
#75
Ben bon ça n’aura pas duré bien longtemps :http://x0r.fr/blog/47
" /> Orange !
" />
Ils font vraiment tout pour nous empêcher d’utiliser notre ligne VoIP comme on le voudrait !
#76
#77
Généralement c’est un mot de passe par client qui est le même sur tous ses routeurs et qu’il ne faut pas changer sous peine de ne plus être supporté (le mot de passe peut-être complexe) donc c’est moins pire mais pas jojo non plus.
Et sinon les équipements (enfin certains et à une certaines époque) sont connu pour avoir des comportement très étranges dans certaines situation, comme par exemple ouvrir des ports exotiques à réception de trames réseaux particulières… De la a dire qu’ils sont backdoorés il n’y a qu’un pas aisément franchi…
Me fait marrer l’ANSSI qui déconseille l’achat d’équipement Chinois Huaiwei ou ZTE aux OIV et qui dit rien sur CISCO. Bon le but c’est de pousser Alcatel m’enfin…
#78
+1 mais les gens ne le note pas, et se retrouvent bloqué à la seconde authentification
" />
#79
Merci pour ces précieuses infos : j’aime le factuel !
" />
#80
oui , sur le nra free n’a pas d’équipement : donc pas de dégroupage donc pas de VDSL !
Ovh le fait mais n’ouvre pas les tuyaux en grands vs Orange !
#81
Autant pour ceux qui mettent des mots de passe nuls, on ne peut rien faire, autant cisco pourrait très bien livrer ces routeurs avec des mots de passe uniques. Si même orange est capable de le faire avec ses livebox, je pense que cisco.
#82
Sinon, on peut toujours utiliser du D-Link pour être plus safe.
" />
#83
Ouai enfin c’est pas d’hier que des versions “custom” d’IOS et meme de CATOS se trimbale sur le net.
Principalement depuis la version 15 pour contourner les “unified features” qui te demandent une license pour chaque feature high end.
Apres les mecs qui se sont fait haxx sont quand meme des branquignole puisque les 1841,2811 et 3825 ne sont pas redondant et upgrader le firmware implique un reboot.
N’importe quel soft de monitoring basique te previens et la c’est ton boulot d’investiguer.
#84
Un device Cisco qui first boot te presente un wizzard qui securise le truc de maniere correcte … si tu lui dit pas que tu veux tout faire manuellement.
#85
#86
Wow! Le nombre de conneries qu’on peut lire ici, dès que ça parle sécu…
C’est clair qu’un attaquant qui réécrit un firmware, il va se baser sur des mots de passe faibles pour le déployer.
Entre autres.
#87
Y’as du récidiviste, mais oui on préfère se réunir entre nous tellement tout le monde il est beau et tout le monde il à raison ici et ailleurs, sans connaitre les tenants et aboutissants, ou sans se remettre dans son ignorance. Le savoir c’est avant tout admettre d’avoir tord.
Pourtant le titre est écrit en gras et gros.
On se voit au prochain hack.lu dans un mois nextinpact ou vous avez besoin d’un pass ?
#88
c’est pas sorti en 2007 ios ?
#89
cisco ce n’est pas la même cible que les box d’orange
#90
Je ne crois pas que quelqu’un ait précisé ce point mais par défaut et si on ne fait pas le wizard, un routeur Cisco n’a pas de compte utilisateur défini mais demande pourtant l’authentification pour les connexions vty (telnet/SSH). Il est donc impossible de s’y connecter à distance avec la conf de base (message d’erreur du style : “password required but none set”).
Il n’y a pas de login/mdp par défaut, donc si l’admin met un username/password bidon, ou pire, juste un password sur les vty c’est juste un problème d’interface chaise/clavier…
!conf par défaut :
R1#sh run | b vty
line vty 0 4
login
!
#91
“Dans le cas des routeurs trafiqués, le firmware s’appelle ROMMON, pour
ROM Monitor. Les pirates ont donc préparé un nouveau système
d’exploitation, nommé SYNful Knock, capable d’être piloté à distance et
d’opérer à couvert. Avec les bons identifiants, ils ont pu utiliser la
fonctionnalité de mise à jour et remplacer le firmware de base par celui
qu’ils avaient trafiqué et qui était donc malveillant.”
C’est faux.
Il y a confusion entre la ROMMON malveillante et synful knock. Gosh.