xiaoliangge - Fotolia
Fuites de Wikileaks : Cisco découvre une faille de sécurité critique
L’examen, par l’équipementier, des documents internes à la CIA dévoilés par Wikileaks, a l’identification d’une faille du système d’exploitation de ses produits, IOS, permettant d’entre prendre le contrôle complet, à distance.
C’est une vulnérabilité critique que Cisco vient de découvrir, dans les logiciels embarqués de ses routeurs et commutateurs réseau, IOS et IOS XE. Dans une note d’information, l’équipementier explique que celle-ci peut permettre à un attaquant d’exécuter du code malicieux sur les systèmes concernés et d’en obtenir le contrôle complet, sans avoir besoin de s’authentifier.
La vulnérabilité affecte le protocole d’administration de grappes (CMP). Ce protocole permet de gérer plusieurs équipements réseau de Cisco comme une seule entité. CMP repose en coulisses sur Telnet pour la signalisation et l’échange de commandes entre membres d’une grappe. Cisco explique que la vulnérabilité trouve son origine dans le fait que l’utilisation des options Telnet spécifiques à CMP « n’est pas restreinte aux communications locales internes entre membres d’un cluster », d’une part, et au « traitement incorrect des options Telnet spécifiques à CMP mal formées ». Dès lors, les équipements configurés pour accepter des connexions Telnet, et affectés par la vulnérabilité, sont susceptibles d’être compromis par le biais d’option Telnet de CMP tout spécialement mal formées.
En tout, plusieurs centaines d’équipements Cisco sont affectés, ainsi que des équipements de tiers embarquant des modules Cisco Catalyst. L’équipementier prévoit de fournir des mises à jour logicielles gratuites. Il fournit également des signatures pour ses systèmes de prévention d’intrusion et pour Snort, permettant de détecter les tentatives d’exploitation de la vulnérabilité. Cisco recommande en outre de désactiver Telnet et de lui préférer SSH. Et de renvoyer à son guide de renforcement de la sécurité sur ces équipements IOS.
Dans un billet de blog, Omar Santos, de l’équipe chargée de la réponse aux incidents de sécurité affectant les produits Cisco, explique que, pour l’heure, la capacité d’action de l’équipementier à partir des révélations de Wikileaks est limitée : « aucun des outils et logiciels malveillants référencés dans la divulgation initiale de Vault 7 n’est disponible ». Mais à partir de l’examen des documents rendus publics, il estime qu’il existe des logiciels malveillants qui « semblent viser différents types et gammes d’appareils Cisco, dont de multiples familles de routeurs et de commutateurs ». Des logiciels qui « semblent fournir un vaste éventail de capacités », dont la collecte et l’exfiltration de données, ou encore la redirection, manipulation et modification de contenus HTML.
C’est début mars que Wikileaks a commencé à distiller une grande quantité de documents hautement sensibles dérobés à la CIA, dite « Vault 7 ». La première série rendue publique comptait près de 8800 documents et fichiers. Wikileaks a commencé à proposer aux entreprises dont les produits sont susceptibles d’être concernés d’accéder aux informations complètes, sous conditions, notamment de correction des vulnérabilités existantes sous 90 jours, d’après nos confrères de Motherboard.