Jeudi, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a recommandé de désactiver l’ancienne fonctionnalité Cisco Smart Install (SMI) après en avoir été victime d’abus lors d’attaques récentes.

CISA a repéré des acteurs de la menace utilisant cette tactique et exploitant d’autres protocoles ou logiciels pour voler des données sensibles, telles que des fichiers de configuration système, ce qui a déclenché une alerte conseillant aux administrateurs de désactiver l’ancien protocole SMI (remplacé par la solution Cisco Network Plug and Play) pour bloquer ces attaques en cours.

Il a également recommandé d’examiner l’avis d’utilisation abusive du protocole d’installation intelligente de la NSA et le Guide de sécurité de l’infrastructure réseau pour obtenir des conseils de configuration supplémentaires.

En 2018, l’équipe Cisco Talos a également averti que le protocole Cisco SMI était utilisé de manière abusive pour cibler les commutateurs Cisco dans des attaques liées à plusieurs groupes de piratage, y compris le groupe Dragonfly APT soutenu par la Russie (également connu sous le nom de Crouching Yeti et Energetic Bear).

Les attaquants ont profité de l’incapacité des propriétaires de commutateurs à configurer ou désactiver le protocole, ce qui a laissé le client SMI en cours d’exécution et en attente des commandes « installation/configuration ».

Des commutateurs vulnérables ont permis aux auteurs de la menace de modifier les fichiers de configuration, de remplacer l’image système IOS, d’ajouter des comptes malveillants et d’exfiltrer des informations via le protocole TFTP.

En février 2017 et février 2018, Cisco a averti ses clients que des acteurs malveillants recherchaient activement des périphériques Cisco compatibles SMI exposés à Internet.

Abus de types de mots de passe faibles
Les administrateurs ont également été invités aujourd’hui à mettre en œuvre de meilleures mesures de protection par mot de passe après que CISA a constaté que les attaquants exploitaient des types de mots de passe faibles pour compromettre les périphériques réseau Cisco.

« Un type de mot de passe Cisco est le type d’algorithme utilisé pour sécuriser le mot de passe d’un périphérique Cisco dans un fichier de configuration système. L’utilisation de types de mots de passe faibles permet des attaques de piratage de mots de passe », a ajouté l’agence aujourd’hui.

« Une fois l’accès obtenu, un acteur malveillant pourrait accéder facilement aux fichiers de configuration du système. L’accès à ces fichiers de configuration et mots de passe système peut permettre aux cyberacteurs malveillants de compromettre les réseaux des victimes. Les organisations doivent s’assurer que tous les mots de passe sur les périphériques réseau sont stockés en utilisant un niveau de protection suffisant. »

CISA recommande d’utiliser une protection par mot de passe de type 8 approuvée par le NIST pour tous les périphériques Cisco. Cela garantit que les mots de passe sont hachés avec la fonction de dérivation de clé basée sur le mot de passe version 2 (PBKDF2), l’algorithme de hachage SHA-256, un sel de 80 bits et 20 000 itérations.

Plus d’informations sur l’activation des mots de passe en mode EXEC de privilège de type 8 et la création d’un compte d’utilisateur local avec un mot de passe de type 8 sur un périphérique Cisco sont disponibles dans Types de mots de passe Cisco de la NSA: Guide des meilleures pratiques.

L’agence de cybersécurité recommande de suivre les meilleures pratiques pour sécuriser les comptes administrateurs et les mots de passe dans les fichiers de configuration.

Cela inclut de stocker correctement les mots de passe à l’aide d’un algorithme de hachage puissant, d’éviter la réutilisation des mots de passe entre les systèmes, d’utiliser des mots de passe forts et complexes et d’éviter d’utiliser des comptes de groupe qui ne fournissent pas de responsabilité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *