Le Federal Bureau of Investigation (FBI) a averti que des pirates informatiques liés au Service fédéral de sécurité russe (FSB) ciblent les organisations d’infrastructures critiques dans des attaques exploitant une vulnérabilité vieille de 7 ans dans les appareils Cisco.
L’annonce de service public du FBI indique que le groupe de piratage soutenu par l’État, lié à l’unité du Centre 16 du FSB et suivi sous le nom de Berserk Bear (également connu sous le nom de Blue Kraken, Crouching Yeti, Dragonfly et Koala Team), a ciblé les périphériques réseau Cisco en utilisant les exploits CVE-2018-0171 pour violer les organisations du monde entier.
L’exploitation réussie de CVE-2018-0171, une vulnérabilité critique de la fonctionnalité d’installation intelligente des logiciels Cisco IOS et Cisco IOS XE, peut permettre aux acteurs de la menace non authentifiés de déclencher à distance un rechargement des périphériques non corrigés, entraînant potentiellement une condition de déni de service (DoS) ou permettant aux attaquants d’exécuter du code arbitraire sur le périphérique ciblé.
« Au cours de l’année écoulée, le FBI a détecté des acteurs collectant des fichiers de configuration pour des milliers de périphériques réseau associés à des entités américaines dans des secteurs d’infrastructures critiques. Sur certains appareils vulnérables, les acteurs ont modifié les fichiers de configuration pour permettre un accès non autorisé à ces appareils », a déclaré le FBI.
« Les acteurs ont utilisé l’accès non autorisé pour effectuer des reconnaissances dans les réseaux des victimes, ce qui a révélé leur intérêt pour les protocoles et les applications couramment associés aux systèmes de contrôle industriels. »
Le même groupe de piratage a déjà ciblé les réseaux d’organisations gouvernementales et d’entités aéronautiques des États-Unis, locales, territoriales et tribales (SLTT) au cours de la dernière décennie.
Les administrateurs sont invités à corriger dès que possible
Cisco, qui a détecté pour la première fois des attaques ciblant la faille CVE-2018-0171 en novembre 2021, a mis à jour son avis mercredi, exhortant les administrateurs à sécuriser leurs appareils contre les attaques en cours dès que possible.
Cisco Talos, la division de cybersécurité de l’entreprise, a déclaré que le groupe de menaces russe qu’il suit sous le nom de Static Tundra exploitait agressivement CVE-2018-0171 dans cette campagne pour compromettre des appareils non corrigés appartenant à des organisations de télécommunications, d’enseignement supérieur et de fabrication en Amérique du Nord, en Asie, en Afrique et en Europe.
Les attaquants ont également été observés en utilisant des outils SNMP personnalisés qui leur permettent d’obtenir de la persistance sur des appareils compromis et d’échapper à la détection pendant des années, ainsi que l’implant de micrologiciel SYNful Knock, repéré pour la première fois en 2015 par FireEye.
« La menace s’étend au — delà des opérations de la Russie-d’autres acteurs parrainés par l’État mènent probablement des campagnes similaires de compromission des périphériques réseau, ce qui rend les correctifs complets et le renforcement de la sécurité essentiels pour toutes les organisations », a ajouté Cisco Talos.
« Les auteurs de menaces continueront d’abuser des appareils qui ne sont pas corrigés et sur lesquels Smart Install est activé. »