gluke - Fotolia
IOS de Cisco visé par un gouvernement ?
Les équipements Cisco font l’objet d’une attaque innovante touchant directement leur image de démarrage. Une opération qui pourrait avoir été lancée par un gouvernement.
Cisco alerte ses clients, depuis le 11 août, d’une attaque en cours visant ses équipements. Dans une notice d’information, l’équipementier explique avoir « observé un nombre limité de cas où les attaquants, après avoir obtenu les droits d’administration ou un accès physique à un appareil Cisco IOS, ont remplacé le ROMMON Cisco IOS [l’image de démarrage permettant le chargement du système d’exploitation, NDLR] par une image malicieuse ».
L’attaque n’est pas bénigne : l’installation de cette image permet d’assurer la persistance de la compromission après redémarrage. Mais l’attaque ne s’appuie pas sur la moindre vulnérabilité logicielle : « l’attaquant a besoin d’identifiants administrateur valides ou d’un accès physique au système pour réussir ».
Autrement dit : c’est soit la sécurité physique de l’infrastructure qui est initialement compromise, soit l’hermétisme des processus d’accès logique aux équipements réseau Cisco.
Pour l’expert Bruce Schneier, le problème est « sérieux ». Et, « s’il n’y a pas d’indication de qui est à l’origine de ces attaques, c’est exactement le genre de choses que l’on attendrait d’un gouvernement ».
Dès lors, corriger la situation en améliorant le contrôle sur les identifiants d’administration s’avère selon lui plus qu’urgent : « quel que soit le gouvernement qui a initialement découvert cela, estimez que tous l’exploitent aujourd’hui, et continueront tant que cela n’aura pas été corrigé ».
Certains commentateurs relèvent que la situation est d’autant plus délicate qu’avec le niveau de privilèges approprié, il est possible de conduire cette attaque sans laisser de trace dans les logs des équipements.
En attendant, l’équipementier pointe vers plusieurs documents regroupant ses recommandations pour renforcer la sécurité de ses appareils IOS. L’une d’entre elles touche au processus de démarrage Cisco Secure Boot qui vérifie l’intégrité du code du ROMMON et de l’image IOS en s’appuyant des signatures numériques : « cela empêche votre équipement réseau d’exécuter des logiciels réseau modifiés », explique le constructeur.