Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Des pirates remplacent le firmware de routeurs Cisco mal configurés

Les clés sont sous le paillasson
Internet 6 min
Des pirates remplacent le firmware de routeurs Cisco mal configurés
Crédits : Brian Raisbeck/iStock

La société de sécurité FireEye a publié un bulletin d’information sur le piratage de plusieurs routeurs Cisco. L’attaque a pu visiblement se produire à cause d’un manque de vigilance des administrateurs réseaux concernés. Pour Cisco, qui a confirmé le problème, l’opération témoigne d’une évolution dans les méthodes utilisées par les pirates.

Les routeurs sont des éléments clés dans les infrastructures réseaux. Ils sont des portes d’entrées et sorties pour les données, souvent situés entre le réseau d’une entreprise et Internet. Leurs éventuelles failles sont du pain béni pour les pirates, et on rappellera comment les documents dérobés par Edward Snowden ont montré que la NSA était particulièrement intéressée par ces brèches. Exploitées, elles peuvent permettre d’en prendre le contrôle et donc de décider ce qui arrivera aux données qui y transitent.

Pas besoin de failles quand on possède les bons identifiants

Mais une faille de sécurité n’est pas forcément nécessaire pour pirater efficacement un réseau. Lors d’une attaque visant l’appropriation de données, les routeurs doivent pouvoir être contrôlés. Or, pour y parvenir, il n’existe que deux moyens : forcer les protections ou disposer des bonnes clés. Dans le cas abordé par FireEye, les pirates possédaient ces clés. Ils n’ont même pas eu besoin de chercher longtemps puisque les mots de passe avaient soit été inchangés, soit remplacés par d’autres très simples à deviner. Une histoire qui n'est pas sans rappeler le cas de certaines bases de données MongoDB au début de l'année.

Dans un rapport, FireEye indique ainsi que 14 routeurs, répartis dans quatre pays (Ukraine, Philippines, Mexique et Inde), ont vu leur configuration changée via des implants réalisés par des personnes extérieures. Les pirates ont en fait utilisé une fonctionnalité que Cisco décrit comme parfaitement documentée, et pour cause : il s’agit du mécanisme de mise à jour des firmwares.

Remplacer le firmware par une version malveillante

Dans le cas des routeurs trafiqués, le firmware s’appelle ROMMON, pour ROM Monitor. Les pirates ont donc préparé un nouveau système d’exploitation, nommé SYNful Knock, capable d’être piloté à distance et d’opérer à couvert. Avec les bons identifiants, ils ont pu utiliser la fonctionnalité de mise à jour et remplacer le firmware de base par celui qu’ils avaient trafiqué et qui était donc malveillant. Même sans exploitation de faille, le problème est selon FireEye assez sérieux : « L’impact en cas de découverte de cet implant sur votre réseau est sévère et indique probablement la présence d’autres implantations ou systèmes compromis. Cette porte dérobée fournit une large capacité pour l’attaquant à propager [la menace] et à compromettre d’autres systèmes et données critiques […] ».

Pour FireEye cependant, même si les pirates ont exploité une fonctionnalité parfaitement documentée, le résultat et les implications d’un firmware modifié pointent vers une équipe professionnelle, ayant une grande expérience de ce type de manipulation. Le rapport ne mentionne pas à qui appartiennent les routeurs, s’il s‘agit d’entreprises ou de structures publiques et/ou gouvernementales. Il y a clairement volonté de maitriser l’information à ce sujet.

Un firmware roi en sa demeure

On sait néanmoins que les 14 routeurs étaient tous l’un des trois modèles suivants : 1841, 2811 et 3825. Cependant, à cause de grandes similitudes entre les firmwares qui peuvent exister entre les modèles, FireEye indique que d’autres produits peuvent être touchés. Par ailleurs, le fonctionnement du firmware modifié est lui aussi connu. Sa première mission est de télécharger depuis différentes sources des modules complémentaires qui seront utilisés pour réaliser la suite des opérations. Il fournit également un accès complet dès lors que l’on possède le mot de passe de la porte dérobée. Les pirates ont donc la main et peuvent piloter le routeur via une console et Telnet.

Évidemment, firmware oblige, il est délicat de repérer l’activité et de s’en débarrasser facilement. Un redémarrage n’y change rien puisque le système est simplement rechargé, avec tous ses modules. D’autant qu’une fois le contrôle assuré sur le routeur, les pirates disposent d’une position privilégiée pour s’en prendre au reste du réseau, y compris les serveurs.

En fait, le vrai danger selon FireEye est que ce type d’attaque a bien été envisagé, mais qu’il s’agit de l’une des premières fois où l’on en voit une exploitation concrète. Conséquence, les chercheurs n’ont que peu de retours et d’informations, sinon celles liées à cette attaque spécifique. Il est donc recommandé aux administrateurs réseaux de vérifier la configuration de leurs routeurs, au minimum pour s’assurer que le mot de passe est suffisamment fort pour ne pas être trouvé aisément.

D'autant que le problème est visiblement plus important. Dans un récent article, Ars Technica indique qu'une équipe de chercheurs a modifié l'outil de scanner réseau open source Zmap pour lui faire envoyer des packets TCP SYN spécialement conçu. Ils ont découvert en effet que le firmware malveillant possédait une empreinte qui pouvait donc être recherchée. Quatre analyses ont été lancées sur l'ensemble de l'espace d'adresses IPv4 et 79 routeurs affectés ont été trouvés, répartis dans 19 pays, et dont 25 appartiennent à un unique fournisseur d'accès américain de la Côte Est.

Pour Cisco, le travail est à faire du côté des clients

Du côté de Cisco, on indique que la Product Security Incident Response Team (PSIRT) a averti récemment les clients concernés du problème. La société confirme bien la découverte de FireEye, qui illustre en fait une situation décrite il y a plus d’un mois, à l’occasion d’un billet de sécurité sur cette thématique. Cisco y abordait justement la manière dont les attaques avaient évolué contre son système d’exploitation IOS, que l’on trouve dans ses routeurs. Dommage cependant que ni le constructeur, ni FireEye n'aient indiqué depuis combien de temps ces firmwares étaient installés.

Pour Cisco, il est évidemment important de signaler qu’aucune faille de sécurité n’est exploitée dans ce type d’attaque. Sans réellement le dire de manière trop brutale, l’entreprise souligne qu’un pirate qui voudrait remplacer le firmware aurait besoin d’un accès physique au routeur ou... d’identifiants valides. Elle fournit également plusieurs documentations techniques (1, 2 et 3) abordant la manière de s’assurer de l’intégrité d’un équipement, les techniques pour renforcer la sécurité ou encore les méthodes pour détecter un comportement suspect et comment s’en débarrasser.

Enfin, FireEye semble certain de son côté que ce vecteur d’attaque n’en est qu’à ses débuts et que les cas d’utilisation ne peuvent que se multiplier. Les bénéfices sont assez importants selon le découvreur, permettant une grande flexibilité dans les actions entreprises, tout en garantissant un haut niveau de furtivité. L’ensemble des structures possédant de tels équipements doit donc s’adapter, mais le problème renvoie finalement à la manière globale dont la sécurité est envisagée, les systèmes étant souvent victimes d’un manque de préparation ou d’une faille humaine.

91 commentaires
Avatar de KP2 Abonné
Avatar de KP2KP2- 17/09/15 à 06:49:36

WOW ! si les mecs commencent a manipuler les firmwares de routeurs, on est pas sorti de l'auberge...
Faut deja avoir de sacrés moyens pour faire ce genre de chose...

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 17/09/15 à 06:50:19

Tant qu'il restera un facteur "utilisateur", il restera de toute façon des moyens de pirater...

Que ça soit par flemme, ou par obligation (mais si ouvre ces ports en sortie c'est chiant sinon!) ou par oublis...

Mais il est clair que faire un firmware modifié quand même? C'est du sacré boulot.
Le firmware est opensource?

Il n'y a pas de vérification de la légitimité du firmware? (signature)

Édité par Burn2 le 17/09/2015 à 06:51
Avatar de raoudoudou INpactien
Avatar de raoudoudouraoudoudou- 17/09/15 à 06:54:41

On a les noms des boulets? :transpi:

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 17/09/15 à 06:59:24

Non, IOS, c'est du code proprio

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 17/09/15 à 07:00:29

Pfiou.. déjà qu'on pouvait pas faire confiance aux FAI à cause des divers patriot act / magouilles marketing, et maintenant c'est le réseau technique lui même qui est compromis...

Avatar de DomabaZ INpactien
Avatar de DomabaZDomabaZ- 17/09/15 à 07:01:43

Etonnant, ça me rappelle cette volonté de la FCC concernant les firmware des appareils qui peuvent faire du wifi.  hackaday.com/2015/09/02/save-wifi-act-now-to-save-wifi-from-the-fcc/
 
Cisco, partenaire de la FCC ?

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 17/09/15 à 07:04:28

KP2 a écrit :

WOW ! si les mecs commencent a manipuler les firmwares de routeurs, on est pas sorti de l'auberge...
Faut deja avoir de sacrés moyens pour faire ce genre de chose...

Il faut surtout que le routeur soit mal configuré protégé, c'est un peu comme le partage administratif sous windows quand les gens avaient des modems et pas des box, tu rentrais super facilement sur le disque d'une personne à distance.

Avatar de manus Abonné
Avatar de manusmanus- 17/09/15 à 07:07:36

Je n'ai jamais compris les mots de passe par défaut partout.
 Tant que l'appareil n'est pas configuré le mot de passe (et le user?) devrait être généré aléatoirement et fourni à la première demande d'authentification (elle sans mot de passe). Cela éviterait que le souci du c'est pas ma faute c'est le client, qui n'a pas changé le mot de passe.

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 17/09/15 à 07:07:40

Et il marche mieux?:transpi::8

Avatar de anonyme_97254becd5c5b064755d6772703ed968 INpactien

"Dommage cependant que ni le constructeur, ni FireEye n'aient indiqué depuis combien de temps ces firmwares étaient installés."

Quand tu prends connaissance d'une faille , "les malveillants" sont déjà en train d'en exploiter une autre ... simple non ?

iOS a déjà été victime de faille beaucoup plus grave que cette dernière (qui n'en n'ai pas réellement une) : revoir l'année 2003 , là c'était du très lourd !

Il n'est plus possible de commenter cette actualité.
Page 1 / 10