La société de sécurité FireEye a publié un bulletin d’information sur le piratage de plusieurs routeurs Cisco. L’attaque a pu visiblement se produire à cause d’un manque de vigilance des administrateurs réseaux concernés. Pour Cisco, qui a confirmé le problème, l’opération témoigne d’une évolution dans les méthodes utilisées par les pirates.
Les routeurs sont des éléments clés dans les infrastructures réseaux. Ils sont des portes d’entrées et sorties pour les données, souvent situés entre le réseau d’une entreprise et Internet. Leurs éventuelles failles sont du pain béni pour les pirates, et on rappellera comment les documents dérobés par Edward Snowden ont montré que la NSA était particulièrement intéressée par ces brèches. Exploitées, elles peuvent permettre d’en prendre le contrôle et donc de décider ce qui arrivera aux données qui y transitent.
Pas besoin de failles quand on possède les bons identifiants
Mais une faille de sécurité n’est pas forcément nécessaire pour pirater efficacement un réseau. Lors d’une attaque visant l’appropriation de données, les routeurs doivent pouvoir être contrôlés. Or, pour y parvenir, il n’existe que deux moyens : forcer les protections ou disposer des bonnes clés. Dans le cas abordé par FireEye, les pirates possédaient ces clés. Ils n’ont même pas eu besoin de chercher longtemps puisque les mots de passe avaient soit été inchangés, soit remplacés par d’autres très simples à deviner. Une histoire qui n'est pas sans rappeler le cas de certaines bases de données MongoDB au début de l'année.
Dans un rapport, FireEye indique ainsi que 14 routeurs, répartis dans quatre pays (Ukraine, Philippines, Mexique et Inde), ont vu leur configuration changée via des implants réalisés par des personnes extérieures. Les pirates ont en fait utilisé une fonctionnalité que Cisco décrit comme parfaitement documentée, et pour cause : il s’agit du mécanisme de mise à jour des firmwares.
Remplacer le firmware par une version malveillante
Dans le cas des routeurs trafiqués, le firmware s’appelle ROMMON, pour ROM Monitor. Les pirates ont donc préparé un nouveau système d’exploitation, nommé SYNful Knock, capable d’être piloté à distance et d’opérer à couvert. Avec les bons identifiants, ils ont pu utiliser la fonctionnalité de mise à jour et remplacer le firmware de base par celui qu’ils avaient trafiqué et qui était donc malveillant. Même sans exploitation de faille, le problème est selon FireEye assez sérieux : « L’impact en cas de découverte de cet implant sur votre réseau est sévère et indique probablement la présence d’autres implantations ou systèmes compromis. Cette porte dérobée fournit une large capacité pour l’attaquant à propager [la menace] et à compromettre d’autres systèmes et données critiques […] ».
Pour FireEye cependant, même si les pirates ont exploité une fonctionnalité parfaitement documentée, le résultat et les implications d’un firmware modifié pointent vers une équipe professionnelle, ayant une grande expérience de ce type de manipulation. Le rapport ne mentionne pas à qui appartiennent les routeurs, s’il s‘agit d’entreprises ou de structures publiques et/ou gouvernementales. Il y a clairement volonté de maitriser l’information à ce sujet.
Un firmware roi en sa demeure
On sait néanmoins que les 14 routeurs étaient tous l’un des trois modèles suivants : 1841, 2811 et 3825. Cependant, à cause de grandes similitudes entre les firmwares qui peuvent exister entre les modèles, FireEye indique que d’autres produits peuvent être touchés. Par ailleurs, le fonctionnement du firmware modifié est lui aussi connu. Sa première mission est de télécharger depuis différentes sources des modules complémentaires qui seront utilisés pour réaliser la suite des opérations. Il fournit également un accès complet dès lors que l’on possède le mot de passe de la porte dérobée. Les pirates ont donc la main et peuvent piloter le routeur via une console et Telnet.
Évidemment, firmware oblige, il est délicat de repérer l’activité et de s’en débarrasser facilement. Un redémarrage n’y change rien puisque le système est simplement rechargé, avec tous ses modules. D’autant qu’une fois le contrôle assuré sur le routeur, les pirates disposent d’une position privilégiée pour s’en prendre au reste du réseau, y compris les serveurs.
En fait, le vrai danger selon FireEye est que ce type d’attaque a bien été envisagé, mais qu’il s’agit de l’une des premières fois où l’on en voit une exploitation concrète. Conséquence, les chercheurs n’ont que peu de retours et d’informations, sinon celles liées à cette attaque spécifique. Il est donc recommandé aux administrateurs réseaux de vérifier la configuration de leurs routeurs, au minimum pour s’assurer que le mot de passe est suffisamment fort pour ne pas être trouvé aisément.
D'autant que le problème est visiblement plus important. Dans un récent article, Ars Technica indique qu'une équipe de chercheurs a modifié l'outil de scanner réseau open source Zmap pour lui faire envoyer des packets TCP SYN spécialement conçu. Ils ont découvert en effet que le firmware malveillant possédait une empreinte qui pouvait donc être recherchée. Quatre analyses ont été lancées sur l'ensemble de l'espace d'adresses IPv4 et 79 routeurs affectés ont été trouvés, répartis dans 19 pays, et dont 25 appartiennent à un unique fournisseur d'accès américain de la Côte Est.
Pour Cisco, le travail est à faire du côté des clients
Du côté de Cisco, on indique que la Product Security Incident Response Team (PSIRT) a averti récemment les clients concernés du problème. La société confirme bien la découverte de FireEye, qui illustre en fait une situation décrite il y a plus d’un mois, à l’occasion d’un billet de sécurité sur cette thématique. Cisco y abordait justement la manière dont les attaques avaient évolué contre son système d’exploitation IOS, que l’on trouve dans ses routeurs. Dommage cependant que ni le constructeur, ni FireEye n'aient indiqué depuis combien de temps ces firmwares étaient installés.
Pour Cisco, il est évidemment important de signaler qu’aucune faille de sécurité n’est exploitée dans ce type d’attaque. Sans réellement le dire de manière trop brutale, l’entreprise souligne qu’un pirate qui voudrait remplacer le firmware aurait besoin d’un accès physique au routeur ou... d’identifiants valides. Elle fournit également plusieurs documentations techniques (1, 2 et 3) abordant la manière de s’assurer de l’intégrité d’un équipement, les techniques pour renforcer la sécurité ou encore les méthodes pour détecter un comportement suspect et comment s’en débarrasser.
Enfin, FireEye semble certain de son côté que ce vecteur d’attaque n’en est qu’à ses débuts et que les cas d’utilisation ne peuvent que se multiplier. Les bénéfices sont assez importants selon le découvreur, permettant une grande flexibilité dans les actions entreprises, tout en garantissant un haut niveau de furtivité. L’ensemble des structures possédant de tels équipements doit donc s’adapter, mais le problème renvoie finalement à la manière globale dont la sécurité est envisagée, les systèmes étant souvent victimes d’un manque de préparation ou d’une faille humaine.
