Les révélations autour des outils appartenant au groupe de pirates Equation semblent liées de près à certains documents diffusés par Edward Snowden. Une ancienne faille dans des produits Cisco expliquerait ainsi comment la NSA était capable de déchiffrer un millier de connexions VPN par heure.
Il y a quelques semaines, un groupe de pirates s’attaquait à Equation Group, une autre association de malfaiteurs connue pour s’être tenu derrière certaines menace de haut vol, dont Stuxnet, Duqu et Flame. L’archive publiée par les Shadow Brokers contenait des outils pour exploiter des failles 0-day chez plusieurs constructeurs de matériel réseau, dont Cisco et Fortinet. Un ensemble de correctifs avait rapidement suivi.
Une faille dans les vieux pare-feu PIX de Cisco
En analysant ces outils, le chercheur en sécurité Mustafa Al-Bassam s’est rendu compte que l’un d’entre eux, BenignCertain, visait de nombreuses versions de PIX (Private Internet EXchange), une gamme de pare-feu vendue par Cisco par le passé. Il cible une faille dans l’implémentation du protocole Internet Key Exchange, qui permet d’établir une connexion sécurisée via des certificats.
En envoyant un paquet spécialement conçu à un PIX, le pare-feu expédie en retour un tronçon de mémoire. Un parseur permet alors l’analyse des données et l’extraction de la clé VPN pré-partagée, ainsi que d’autres informations. Aucun préparatif n’est nécessaire, l’outil étant utilisable tel quel, par n’importe qui ayant un minimum de connaissances techniques.
Plus de 15 000 réseaux utilisent encore des PIX
Comme l’indique Ars Technica, Cisco a été averti de cette faille. Mais puisqu’elle visait une gamme de produits dont le support était arrêté depuis 2009, le constructeur s’en est tenu à cette ligne de conduite. La société s’est cependant ravisée et a indiqué qu’une équipe s’était finalement penché sur la question. Il en est ressorti que toutes les versions 6.X et antérieures de PIX étaient vulnérables, mais que les moutures 7.0 et ultérieures ne l’étaient pas. Les pare-feu actuels ASA (Adaptive Security Appliance) ne sont pas non plus concernés.
Si la découverte est importante en dépit de l’âge de la vulnérabilité, c’est parce qu’elle soulève deux points majeurs. Premièrement, les pare-feu PIX sont toujours utilisés. Comme souligné par nos confrères, le moteur de recherche Shodan permet de mettre en évidence pas loin de 17 000 réseaux qui disposent encore de ces équipements, particulièrement en Russie, aux États-Unis et en Australie. L’exploitation fonctionnant sur les versions 5.3(9) à 6.3(4), une partie d’entre eux est donc nécessairement vulnérable.
NSA : ceci explique cela
Deuxièmement, la découverte renvoie vers des informations particulières qui étaient apparues dans la documentation dérobée à la NSA par Edward Snowden. Le journal allemand Der Spiegel, l’un des premiers à accéder à ces précieuses données, avait publié en 2014 un article révélant certaines de ces informations, en particulier une : la NSA affirmait être en capacité de décrypter ou déchiffrer 1 000 connexions VPN par heure.
Le flou autour de l’action s’expliquait par une interrogation : l’agence américaine de renseignement possédait-elle les clés ? Au vu des liens forts existant entre Equation Group et la NSA, l’outil BenignCertain expliquerait facilement la raison de cette affirmation. Le terme adapté serait alors bien « déchiffrer » puisqu’il s’agissait de récupérer les clés de déchiffrement.
Il faut noter également que BenignCertain est lié de près à un autre outil de l’arsenal d’Equation Group, FalseMorel. Ce dernier est conçu pour extraire le mot de passe donnant accès, sur les pare-feu PIX, à la console d’administration. Or, BenignCertain vérifie la possibilité de cette autre attaque pendant qu’il s’adonne à sa mission.
Pas de correctif pour les vieux pare-feu touchés
Reste que les équipements vulnérables le resteront. La gamme PIX – toutes versions confondues – n’est plus supportée depuis 2009, Cisco ajoutant qu’utiliser du matériel non entretenu ne peut qu’accroitre les risques de manière exponentielle avec le temps. En d’autres termes, les équipements concernés doivent être remplacés au risque de voir de nombreuses informations fuiter.
