Les agences britanniques et américaines de cybersécurité et de renseignement ont averti d’acteurs de l’État-nation russe exploitant les failles désormais corrigées des équipements réseau de Cisco pour effectuer des reconnaissances et déployer des logiciels malveillants contre des cibles.
Le les intrusionsselon les autorités, a eu lieu en 2021 et visait un petit nombre d’entités en Europe, des institutions gouvernementales américaines et environ 250 victimes ukrainiennes.
L’activité a été attribuée à un acteur menaçant suivi sous le nom d’APT28, également connu sous le nom de Fancy Bear, Forest Blizzard (anciennement Strontium), FROZENLAKE et Sofacy, et est affilié à la Direction générale du renseignement de l’état-major russe (GRU).
« APT28 est connu pour accéder à des routeurs vulnérables en utilisant des chaînes de communauté SNMP par défaut et faibles, et en exploitant CVE-2017-6742 », a déclaré le National Cyber Security Center (NCSC).
CVE-2017-6742 (score CVSS : 8,8) fait partie d’un ensemble de failles d’exécution de code à distance qui proviennent d’un condition de dépassement de tampon dans le protocole de gestion de réseau simple (SNMP) sous-système dans le logiciel Cisco IOS et IOS XE.
Dans les attaques observées par les agences, l’auteur de la menace a militarisé la vulnérabilité pour déployer un logiciel malveillant non persistant appelé Jaguar Tooth sur les routeurs Cisco, capable de collecter des informations sur les appareils et de permettre un accès par porte dérobée non authentifié.
Bien que les problèmes aient été corrigés en juin 2017, ils ont depuis fait l’objet d’une exploitation publique à partir du 11 janvier 2018, soulignant la nécessité de pratiques de gestion des correctifs robustes pour limiter la surface d’attaque.
Outre la mise à jour vers le dernier micrologiciel pour atténuer les menaces potentielles, la société recommande également aux utilisateurs de passer de SNMP vers NETCONF ou RESTCONF pour la gestion du réseau.
Cisco Talos, dans un avis coordonné, a déclaré que les attaques faisaient partie d’un campagne plus large contre le vieillissement des appareils et logiciels de mise en réseau de divers fournisseurs pour « faire avancer les objectifs d’espionnage ou se prépositionner pour une future activité destructrice ».
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Cela inclut l’installation de logiciels malveillants dans un périphérique d’infrastructure, les tentatives de surveillance du trafic réseau et les attaques montées par « des adversaires ayant un accès préexistant aux environnements internes ciblant les serveurs TACACS+/RADIUS pour obtenir des informations d’identification ».
L’alerte survient des mois après que le gouvernement américain a tiré la sonnette d’alarme sur les cyberacteurs parrainés par l’État basés en Chine qui exploitent les vulnérabilités du réseau pour exploiter les organisations des secteurs public et privé depuis au moins 2020.
Plus tôt cette année, Mandiant, propriété de Google, a souligné les efforts déployés par les acteurs de la menace parrainés par l’État chinois pour déployer des logiciels malveillants sur mesure sur les appareils Fortinet et SonicWall vulnérables.
