Les États-Unis, le Royaume-Uni et Cisco mettent en garde contre les pirates APT28 parrainés par l’État russe qui déploient un logiciel malveillant personnalisé nommé « Jaguar Tooth » sur les routeurs Cisco IOS, permettant un accès non authentifié à l’appareil.
APT28, également connu sous le nom de Fancy Bear, STRONTIUM, Sednit et Sofacy, est un groupe de piratage parrainé par l’État et lié à la Direction générale du renseignement de l’état-major russe (GRU). Ce groupe de piratage a été attribué à un large éventail d’attaques contre les intérêts européens et américains et est connu pour abuser des exploits du jour zéro pour mener du cyberespionnage.
Un rapport conjoint publié aujourd’hui par le UK National Cyber Security Center (NCSC), l’US Cybersecurity and Infrastructure Security Agency (CISA), la NSA et le FBI détaille comment les pirates APT28 ont exploité une ancienne faille SNMP sur les routeurs Cisco IOS pour déployer un logiciel malveillant personnalisé nommé « Jaguar Tooth ».
Logiciel malveillant de routeur Cisco IOS personnalisé
Jaguar Tooth est un malware injecté directement dans la mémoire des routeurs Cisco exécutant des versions de firmware plus anciennes. Une fois installé, le logiciel malveillant exfiltre les informations du routeur et fournit un accès par porte dérobée non authentifié à l’appareil.
« Jaguar Tooth est un logiciel malveillant non persistant qui cible les routeurs Cisco IOS exécutant le micrologiciel : C5350-ISM, version 12.3(6) », prévient l’avis du NCSC.
« Il inclut une fonctionnalité permettant de collecter des informations sur l’appareil, qu’il exfiltre via TFTP, et permet un accès par porte dérobée non authentifié. Il a été observé qu’il était déployé et exécuté via l’exploitation de la vulnérabilité SNMP corrigée CVE-2017-6742. »
Pour installer le logiciel malveillant, les acteurs de la menace recherchent les routeurs Cisco publics à l’aide de chaînes de communauté SNMP faibles, telles que la chaîne « publique » couramment utilisée. Les chaînes de communauté SNMP sont comme des informations d’identification qui permettent à toute personne connaissant la chaîne configurée d’interroger les données SNMP sur un périphérique.
Si une chaîne de communauté SNMP valide est découverte, les acteurs de la menace exploitent la vulnérabilité SNMP CVE-2017-6742, corrigée en juin 2017. Cette vulnérabilité est une faille d’exécution de code à distance non authentifiée avec un code d’exploitation accessible au public.
Une fois que les acteurs de la menace accèdent au routeur Cisco, ils corrigent sa mémoire pour installer le logiciel malveillant Jaguar Tooth personnalisé et non persistant.
« Cela permet d’accéder aux comptes locaux existants sans vérifier le mot de passe fourni, lors de la connexion via Telnet ou d’une session physique », explique le rapport d’analyse des logiciels malveillants du NCSC.
De plus, le logiciel malveillant crée un nouveau processus nommé « Service Policy Lock » qui collecte la sortie des commandes de l’interface de ligne de commande (CLI) suivantes et l’exfiltre à l’aide de TFTP :
- afficher la configuration en cours d’exécution
- afficher la version
- présentation de l’interface show ip
- montrer arp
- afficher les voisins cdp
- montrer le début
- afficher l’itinéraire IP
- montrer flash
Tous les administrateurs Cisco doivent mettre à niveau leurs routeurs vers le dernier micrologiciel pour atténuer ces attaques.
Cisco recommande également de passer de SNMP à NETCONF/RESTCONF sur les routeurs publics pour la gestion à distance, car il offre une sécurité et des fonctionnalités plus robustes.
Si SNMP est requis, les administrateurs doivent configurer des listes d’autorisation et de refus pour restreindre l’accès à l’interface SNMP sur les routeurs exposés publiquement, et la chaîne de communauté doit être remplacée par une chaîne aléatoire suffisamment forte.
CISA recommande également de désactiver SNMP v2 ou Telnet sur les routeurs Cisco, car ces protocoles pourraient permettre le vol d’informations d’identification à partir du trafic non chiffré.
Enfin, si un appareil est suspecté d’avoir été compromis, CISA recommande d’utiliser les conseils de Cisco pour vérifier l’intégrité de l’image IOS, révoquer toutes les clés associées à l’appareil et ne pas réutiliser les anciennes clés, et remplacer les images par celles provenant directement de Cisco.
Un changement d’objectifs
L’avis d’aujourd’hui met en évidence une tendance croissante parmi les acteurs de la menace parrainés par l’État à créer des logiciels malveillants personnalisés pour les appareils réseau afin de mener du cyberespionnage et de la surveillance.
En mars, Fortinet et Mandiant ont révélé que des pirates chinois ciblaient des appareils Fortinet vulnérables avec des logiciels malveillants personnalisés dans une série d’attaques contre des entités gouvernementales.
Toujours en mars, Mandiant a signalé une campagne de piratage chinoise présumée qui a installé des logiciels malveillants personnalisés sur les appareils SonicWall exposés.
Étant donné que les périphériques réseau périphériques ne prennent pas en charge les solutions Endpoint Detection and Response (EDR), ils deviennent une cible populaire pour les acteurs de la menace.
De plus, comme ils se trouvent à la périphérie et que presque tout le trafic réseau de l’entreprise les traverse, ils constituent des cibles attrayantes pour surveiller le trafic réseau et recueillir des informations d’identification pour un accès ultérieur à un réseau.