Equation Group pouvait facilement extraire les clés VPN de pare-feu PIX de Cisco

Equation Group pouvait facilement extraire les clés VPN de pare-feu PIX de Cisco

Snowden en embuscade

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

06/09/2016 4 minutes
21

Equation Group pouvait facilement extraire les clés VPN de pare-feu PIX de Cisco

Les révélations autour des outils appartenant au groupe de pirates Equation semblent liées de près à certains documents diffusés par Edward Snowden. Une ancienne faille dans des produits Cisco expliquerait ainsi comment la NSA était capable de déchiffrer un millier de connexions VPN par heure.

Il y a quelques semaines, un groupe de pirates s’attaquait à Equation Group, une autre association de malfaiteurs connue pour s’être tenu derrière certaines menace de haut vol, dont Stuxnet, Duqu et Flame. L’archive publiée par les Shadow Brokers contenait des outils pour exploiter des failles 0-day chez plusieurs constructeurs de matériel réseau, dont Cisco et Fortinet. Un ensemble de correctifs avait rapidement suivi.

Une faille dans les vieux pare-feu PIX de Cisco

En analysant ces outils, le chercheur en sécurité Mustafa Al-Bassam s’est rendu compte que l’un d’entre eux, BenignCertain, visait de nombreuses versions de PIX (Private Internet EXchange), une gamme de pare-feu vendue par Cisco par le passé. Il cible une faille dans l’implémentation du protocole Internet Key Exchange, qui permet d’établir une connexion sécurisée via des certificats.

En envoyant un paquet spécialement conçu à un PIX, le pare-feu expédie en retour un tronçon de mémoire. Un parseur permet alors l’analyse des données et l’extraction de la clé VPN pré-partagée, ainsi que d’autres informations. Aucun préparatif n’est nécessaire, l’outil étant utilisable tel quel, par n’importe qui ayant un minimum de connaissances techniques.

Plus de 15 000 réseaux utilisent encore des PIX

Comme l’indique Ars Technica, Cisco a été averti de cette faille. Mais puisqu’elle visait une gamme de produits dont le support était arrêté depuis 2009, le constructeur s’en est tenu à cette ligne de conduite. La société s’est cependant ravisée et a indiqué qu’une équipe s’était finalement penché sur la question. Il en est ressorti que toutes les versions 6.X et antérieures de PIX étaient vulnérables, mais que les moutures 7.0 et ultérieures ne l’étaient pas. Les pare-feu actuels ASA (Adaptive Security Appliance) ne sont pas non plus concernés.

Si la découverte est importante en dépit de l’âge de la vulnérabilité, c’est parce qu’elle soulève deux points majeurs. Premièrement, les pare-feu PIX sont toujours utilisés. Comme souligné par nos confrères, le moteur de recherche Shodan permet de mettre en évidence pas loin de 17 000 réseaux qui disposent encore de ces équipements, particulièrement en Russie, aux États-Unis et en Australie. L’exploitation fonctionnant sur les versions 5.3(9) à 6.3(4), une partie d’entre eux est donc nécessairement vulnérable.

NSA : ceci explique cela

Deuxièmement, la découverte renvoie vers des informations particulières qui étaient apparues dans la documentation dérobée à la NSA par Edward Snowden. Le journal allemand Der Spiegel, l’un des premiers à accéder à ces précieuses données, avait publié en 2014 un article révélant certaines de ces informations, en particulier une : la NSA affirmait être en capacité de décrypter ou déchiffrer 1 000 connexions VPN par heure.

Le flou autour de l’action s’expliquait par une interrogation : l’agence américaine de renseignement possédait-elle les clés ? Au vu des liens forts existant entre Equation Group et la NSA, l’outil BenignCertain expliquerait facilement la raison de cette affirmation. Le terme adapté serait alors bien « déchiffrer » puisqu’il s’agissait de récupérer les clés de déchiffrement.

Il faut noter également que BenignCertain est lié de près à un autre outil de l’arsenal d’Equation Group, FalseMorel. Ce dernier est conçu pour extraire le mot de passe donnant accès, sur les pare-feu PIX, à la console d’administration. Or, BenignCertain vérifie la possibilité de cette autre attaque pendant qu’il s’adonne à sa mission.

Pas de correctif pour les vieux pare-feu touchés

Reste que les équipements vulnérables le resteront. La gamme PIX – toutes versions confondues – n’est plus supportée depuis 2009, Cisco ajoutant qu’utiliser du matériel non entretenu ne peut qu’accroitre les risques de manière exponentielle avec le temps. En d’autres termes, les équipements concernés doivent être remplacés au risque de voir de nombreuses informations fuiter.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une faille dans les vieux pare-feu PIX de Cisco

Plus de 15 000 réseaux utilisent encore des PIX

NSA : ceci explique cela

Pas de correctif pour les vieux pare-feu touchés

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (21)


“En d’autres termes, les équipements concernés doivent être remplacés au risque de voir de nombreuses informations fuiter.”

N’est-ce pas une forme de chantage ?


<img data-src=" />


Plus supporté depuis 2009, cela fait longtemps qu’ils auraient dut être changé ^^








Vincent_H a écrit :



<img data-src=" />





= rachetez nos produits, on mettra pas à jour les vieux <img data-src=" />



Bel exemple d’obsolescence “programmée”.

Le produit est defective by design, Cisco doit faire son job.








DahoodG4 a écrit :



Bel exemple d’obsolescence “programmée”.

Le produit est defective by design, Cisco doit faire son job.







Mais ils le font le job, sauf qu’ils ne travaillent pas pour leurs clients mais pour le gouvernement US. En tant que pro, il faut vraiment être complétement inconscient/demeuré pour confier sa sécurité informatique et ses communications à une boite privée.



D’habitude les patchs de sécurité continue de sortir même après la fin du support, pas éternellement mais durant quelques années, bon là 7ans après c’est logique.



Au moins Cisco a réécrit complétement ces nouvelles versions sans se baser entièrement sur les anciennes ce qui n’est pas le cas de certains éditeurs où des années plus tard une faille 0-Day est découverte et touche tous leur produit depuis 10ans.








thomgamer a écrit :



D’habitude les patchs de sécurité continue de sortir même après la fin du support, pas éternellement mais durant quelques années, bon là 7ans après c’est logique.





J’en connais un paquet pour qui end of support == fin de tout patching. Et ils sont plutôt leader dans ce business :)



&nbsp;







Mintsugar a écrit :



&nbsp; il faut vraiment être complétement inconscient/demeuré pour confier sa sécurité informatique et ses communications à une boite privée.





Et sinon, ils se passent bien tes appels d’offres ? LOL









Winderly a écrit :



“En d’autres termes, les équipements concernés doivent être remplacés au risque de voir de nombreuses informations fuiter.”

N’est-ce pas une forme de chantage ?





:??:



Le produit n’est plus spporté depuis plus de 7 ans, faut pas abusé non plus.

Généralement ces prduits ont des durée de support important en plus avant.





CreaYouz a écrit :



Plus supporté depuis 2009, cela fait longtemps qu’ils auraient dut être changé ^^





+1, surtout chez les pro, avec les cycles de renouvellement et d’amortissement.





jb18v a écrit :



= rachetez nos produits, on mettra pas à jour les vieux <img data-src=" />





C’est pas tout à fait ça, c’est “acheter autre chose pour remplacer ces vieux modèles hors d’âge, chez nous ou ailleurs. Mais chez nous ce serait mieux ;)”





Mintsugar a écrit :



Mais ils le font le job, sauf qu’ils ne travaillent pas pour leurs clients mais pour le gouvernement US. En tant que pro, il faut vraiment être complétement inconscient/demeuré pour confier sa sécurité informatique et ses communications à une boite privée.





Qu’est-ce qui faut pas lire, ça troll sec !





ToMMyBoaY a écrit :



J’en connais un paquet pour qui end of support == fin de tout patching. Et ils sont plutôt leader dans ce business :)



Et sinon, ils se passent bien tes appels d’offres ? LOL





+1, voir même avant pour certains.



Gré à gré ! Avec le FW OpenOffice xD



J’vais me lancer dans une carrière de script-kiddie moi. Avec tous les outils qui ont fuités, ça à l’air facile d’être un hacker aujourd’hui&nbsp;<img data-src=" />








DahoodG4 a écrit :



Bel exemple d’obsolescence “programmée”.

Le produit est defective by design, Cisco doit faire son job.





Si un jour tu gérais une société qui fabrique des routeurs et switch, je ne pense pas que tu garantirais le support de tes équipements ad vitam aeternam, sans compter que la sécurité est un domaine en perpétuelle évolution (enfin, certains produits ou protocoles restent sûrs, ça dépend).







Mintsugar a écrit :



Mais ils le font le job, sauf qu’ils ne travaillent pas pour leurs clients mais pour le gouvernement US. En tant que pro, il faut vraiment être complétement inconscient/demeuré pour confier sa sécurité informatique et ses communications à une boite privée.





Ils ne travaillent pas pour le gouvernement US… Tout au plus on peut comprendre qu’ils aient des liens privilégiés vu qu’ils sont américains, comme pour Thalès avec les services français (et encore). Ce genre de souci de sécurité est très mauvais pour leur image donc ce n’est vraiment pas dans leur intérêt. La prudence, d’accord, la paranoïa, non.



Pour certains, moyennant finance, tu peux continuer de recevoir des mises à jour de sécurité durant quelques années, mais le coût est souvent dissuasif.



D’ailleurs, j’aimerai bien savoir combien de patch de securité ont reçu les postes du gouvernement britannique, qui avait juste souscrit pour une année supplémentaire de patch après la fin du support de Windows XP.








Winderly a écrit :



“En d’autres termes, les équipements concernés doivent être remplacés au risque de voir de nombreuses informations fuiter.”

N’est-ce pas une forme de chantage ?







Chantage de quoi ? qu’un produit est obsolete et qu’il faut le changer ?

Le client n’est pas obligé de remplacer son equipement par un autre de cisco, la concurrence est assez developpée…



C’est en partie de l’obsolescence programmée à la limite puisque l’arrêt du support force le changement.

En partie parce que le fonctionnement est toujours là, tu n’as pas les nouveautés (et nouveautés = correction de sécurité)


Si la phrase d’après fait référence à un PC monté toi-même avec n’importe quelle distri linux dedans et un firewall fait à la mano dedans, tu passes directement dans la case des bricoleurs du dimanche qui s’inventent expert sécurité.








wpayen a écrit :



C’est en partie de l’obsolescence programmée à la limite puisque l’arrêt du support force le changement.

En partie parce que le fonctionnement est toujours là, tu n’as pas les nouveautés (et nouveautés = correction de sécurité)





Il y a aussi des évolutions logicielles ou dans les possibilités, comme quand par exemple on a introduit le MPLS, ou d’autres fonctions un peu plus avancées que permettent par exemple les BigIP F5 (load balancers mais pas seulement).



On va dire que c’est ça <img data-src=" />



J’ai l’impression de t’avoir insulté personnellement, désolé si j’ai heurté ta sensibilité, ce n’était pas mon intention. :)


Non, une correction de securité n’est pas une nouveauté, c’est come je l’ai dit plus haut, un produit defective by design.



Si la serrure de ta porte comporte une faille, tu vas t’en acheter une autre ou revenir vers ton fournisseur en lui disant clairement c’est quoi ce bordel y a des mecs qui sont peut etre rentrés chez moi alors que j’ai payé une serrure dont la fonction premiere est de fermer la porte ! Et ce, meme dans dix ans… .


Pas ad vitam aeternam bien sur, de toute maniere c’est pas possible vu l’avancée des protocoles, IPv4 vers IPv6 meme si c’est pas encore fait entierement, ou par exemple TCP qui finira aussi par y passer .

C’est une faille de base du produit, elle doit etre corrigée.








KP2 a écrit :



Chantage de quoi ? qu’un produit est obsolete et qu’il faut le changer ?

Le client n’est pas obligé de remplacer son equipement par un autre de cisco, la concurrence est assez developpée…







Pourquoi obsolète ? S’il remplit toujours la fonction pour laquelle il a été acheté au départ et que la charge assumée et ou les fonctionnalités qu’on lui demande n’ont pas évoluées, je ne vois pas pourquoi il devrait être changé !



Maintenant que l’implémentation qu’à faite le fournisseur des fonctionnalités fasse preuve de problèmes de sécurité à ISO fonctionnalité c’est autre chose, l’éditeur doit en assumer la responsabilité car le défaut était présent à la conception.




C’est du matos qui a 12 ans quand même… La gamme a été commercialisée en 2004 et arrêtée en 2009.

Faire tourner son réseau sur ce genre de produit c’est quand même pas ce qu’il y a de mieux à faire. (sans parler du risque de panne)



On parle quand même de firewall, donc un composant qui est loin d’être neutre dans la sécurité du réseau. Utiliser du matériel obsolète pour cette partie c’est suicidaire… C’est comme si tu faisais tourner tes serveurs de prod sur des machines sans support ni maintenance qui ont 10 ans.