Le nombre d’appareils Cisco IOS XE piratés avec un implant de porte dérobée malveillant a mystérieusement chuté, passant de plus de 50 000 appareils concernés à seulement quelques centaines, les chercheurs ne sachant pas exactement ce qui cause cette forte baisse.
Cette semaine, Cisco a averti que des pirates avaient exploité deux vulnérabilités zero-day, CVE-2023-20198 et CVE-2023-20273, pour pirater plus de 50 000 appareils Cisco IOS XE afin de créer des comptes d’utilisateurs privilégiés et d’installer un implant de porte dérobée LUA malveillant.
Cet implant LUA permet aux acteurs malveillants d’exécuter à distance des commandes au niveau de privilège 15, le niveau de privilège le plus élevé sur l’appareil.
Cependant, cet implant n’inclut pas la persistance, ce qui signifie qu’un redémarrage supprimera la porte dérobée. Cependant, tous les utilisateurs locaux créés lors de l’attaque resteront.
Depuis la publication de cette nouvelle, les sociétés de cybersécurité et les chercheurs ont découvert qu’environ 60 000 des 80 000 appareils Cisco ISO XE exposés publiquement étaient infectés par cet implant.
Baisse mystérieuse des implants Cisco détectés
Samedi, plusieurs organisations de cybersécurité ont signalé que le nombre d’appareils Cisco IOS XE dotés d’un implant malveillant était mystérieusement tombé d’environ 60 000 appareils à seulement 100 à 1 200, en fonction des différentes analyses.
Le fondateur et directeur technique d’Onyphe, Patrice Auffret, a déclaré à Breachtrace qu’il pensait que les acteurs menaçants à l’origine des attaques déployaient une mise à jour pour masquer leur présence, empêchant ainsi les implants d’être visibles dans les analyses.
« Pour le deuxième jour consécutif, nous constatons que le nombre d’implants a considérablement diminué en peu de temps (voir captures d’écran ci-jointes). En gros, ils semblent avoir été pratiquement tous redémarrés (car l’implant connu ne survit pas à un redémarrage). ou ont été mis à jour. »
« Nous pensons que c’est l’action de l’auteur de la menace initiale qui tente de résoudre un problème qui n’aurait pas dû exister depuis le début. Le fait que l’implant ait été si facile à détecter à distance était une erreur de sa part.
« Ils déploient probablement une mise à jour pour masquer leur présence. »
Piotr Kijewski, PDG de la Shadowserver Foundation, a également déclaré à Breachtrace qu’ils avaient constaté une forte baisse du nombre d’implants depuis le 21/10, leurs analyses n’ayant détecté que 107 appareils dotés de l’implant malveillant.
« L’implant semble avoir été retiré ou mis à jour d’une manière ou d’une autre », a déclaré Kijewski à Breachtrace par e-mail.
Une autre théorie est qu’un pirate informatique au chapeau gris automatise le redémarrage des appareils Cisco IOS XE concernés pour effacer l’implant. Une campagne similaire a été observée en 2018 lorsqu’un pirate informatique a affirmé avoir corrigé 100 000 routeurs MikroTik afin qu’ils ne puissent pas être utilisés à mauvais escient pour des campagnes de cryptojacking et de DDoS.
Cependant, Orange Cyberdefense CERT pour le groupe Orange a déclaré à Breachtrace qu’il ne pensait pas qu’un hacker au chapeau gris soit à l’origine de la diminution des implants mais plutôt qu’il pourrait s’agir d’une nouvelle phase d’exploitation.
« Veuillez noter qu’une éventuelle étape de nettoyage des traces est en cours pour masquer l’implant (suite à l’exploitation du #CVE-2023-20198) », a tweeté Orange Cyberdefense CERT.
« Même si vous avez désactivé votre WebUI, nous vous recommandons de mener une enquête pour vous assurer qu’aucun utilisateur malveillant n’a été ajouté et que sa configuration n’a pas été modifiée. »
Une autre possibilité partagée par le chercheur en sécurité Daniel Card est que les nombreux appareils piratés avec des implants n’étaient qu’un leurre pour cacher les véritables cibles des attaques.
Malheureusement, nous n’avons pour l’instant que des théories. Jusqu’à ce que Cisco ou d’autres chercheurs puissent examiner un périphérique Cisco IOS XE précédemment piraté pour voir s’il a simplement été redémarré ou si de nouvelles modifications ont été apportées, il n’y a aucun moyen de savoir ce qui s’est passé.
Breachtrace a contacté Cisco pour lui poser des questions sur la baisse des implants, mais n’a pas reçu de réponse pour le moment.