Vault 7 : des switchs Cisco victime d’une faille critique, Telnet doit être désactivé

Cisco a publié ce week-end un important bulletin de sécurité portant sur une faille critique, découverte en analysant les documents Vault 7 fournis par Wikileaks. Elle se trouve dans les systèmes IOS et IOS EX dans de très nombreux modèles de commutateurs (switchs). Sans correctif, la seule solution est pour l’instant de couper Telnet.

La semaine dernière, Wikileaks a fini par indiquer que les sociétés concernées par les failles découvertes dans les documents Vault 7 seraient contactées directement. L’organisation a été critiquée pour avoir éventé les vulnérabilités sans chercher à prévenir d’abord les entreprises. Problème soulevé, l’impossibilité de préparer une réponse en amont afin que les utilisateurs touchés soient protégés au moment des révélations.

Ces critiques étaient d’autant plus mises en lumière que toutes ces sociétés travaillent toujours de la même façon : elles n’apprécient généralement que les diffusions discrètes d’informations. Au contraire, elles s’agacent très rapidement des publications ouvertes, quand une course contre la montre s’engage entre les développeurs qui doivent concevoir le correctif, et les pirates qui vont chercher à l’exploiter. Si ce n’est pas déjà fait.

Cisco concerné par les révélations, une faille critique exploitable via Telnet

L’équipementier réseau a publié ce week-end un bulletin portant sur une importante faille critique (CVE-2017-3881) découverte à la lecture des documents de Wikileaks. Elle est exploitable sur des centaines références de commutateurs (switchs), parmi lesquels les modèles Catalyst, Embedded Service 2020, Enhanced Layer 2/3 EtherSwitch Service Module, Enhanced Layer 2 EtherSwitch Service Module, ME 4924-10GE, IE Industrial Ethernet switches ou encore les RF Gateway 10.

En tout, 264 références de commutateurs Catalyst, 51 modèles Ethernet et trois autres divers sont concernés. Et malheureusement, la faille est exploitable à distance et de manière assez simple, par envoi d’instructions Telnet spécialement conçues pour provoquer un redémarrage de l’équipement, avant de lui faire exécuter un code arbitraire. Le risque de mise en place d’un malware est donc sérieux.

Un sérieux problème dans le protocole CMP d’IOS et IOS EX

La vulnérabilité se situe dans le Cluster Management Protocol que l’on trouve dans les systèmes d’exploitation IOS et IOS EX, présent dans un grand nombre de produits réseau de l’entreprise.

Ce protocole particulier sert en temps normal à communiquer des informations entre les commutateurs au sein d’une même grappe (cluster). Ces informations sont transférées automatiquement via Telnet ou SSH. Or, la faille peut être exploitée même quand l’administrateur n’a défini aucun cluster et avec la configuration par défaut de l’équipement, ce qui la rend d’autant plus dangereuse.

Exploitable avec IPv4 et IPv6, la brèche est aggravée par certains points que les chercheurs de chez Cisco ne cachent pas, notamment que le CMP devrait être limité à la seule utilisation des équipements en grappe. Ces derniers peuvent être alors contactés via des requêtes Telnet afin de provoquer une chaine d’erreur qui aboutira à la prise de contrôle.

Aucun correctif pour le moment, Telnet doit être désactivé

Dans un cas qui illustre parfaitement les critiques formulées à l’encontre de Wikileaks, Cisco avertit par la même occasion qu’aucun correctif n’est pour l’instant disponible, quel que soit l’équipement concerné.

De fait, au vu du nombre de modèles touchés et de la facilité d’exploitation, le conseil de Cisco est simple : désactiver Telnet, et ne plus utiliser que SSH. La société est consciente que le changement peut inclure une cassure dans les habitudes, mais le risque est réel. L’équipementier précise toutefois ne pas être au courant d’attaques en cours basées sur cette faille, mais une telle situation peut rapidement changer, d’autant que les détails sont désormais connus.

Le cas rappelle les évènements d’août et septembre 2016, quand les Shadow Brokers avaient réussi à pirater Equation Group, proche de la NSA. Des outils et des détails de failles avaient été publiés, entrainant chez Cisco et Fortinet une vague de correctifs.