[INFO] Cisco SmartInstall - Réseaux Iraniens et Russes attaqués et guide de sécurisation

Comme chaque semaine, le CERT-XMCO partage un bulletin faisant l’actualité. Aujourd’hui, nous vous proposons de revenir sur l’attaque des réseaux iraniens et russes par un groupe se faisant appeler « JHT ».


Description :

Dans la nuit du 6 avril 2018, les réseaux iraniens et russes ont été attaqués par un groupe jusqu’alors inconnu se faisant appeler « JHT« .
Le groupe a pu mener à bien cette attaque en utilisant une vulnérabilité affectant le composant Cisco Smart Install présent sur de nombreux Switchs.

Cette vulnérabilité a permis aux pirates de prendre le contrôle de Switchs exposés sur l’ensemble des territoires concernés en réinitialisant leur configuration.

Une fois la vulnérabilité exploitée, les pirates ont remplacé la configuration des appareils pour afficher un message indiquant de ne pas interférer avec les élections américaines (« Don’t mess with our elections…. « ) ainsi qu’une adresse email « usafreedom_jht@tutanota.com ».

Le groupe de pirate a indiqué dans un mail à la plateforme « Motherboard » avoir scanné massivement Internet afin de lister les équipements exploitables et d’attaquer uniquement les équipements russes et iraniens.

Le groupe a aussi assuré avoir corrigé la vulnérabilité présente sur les switchs britanniques et américains de façon systématique, en lançant la commande « no vstack », empêchant l’exploitation de la vulnérabilité sur le logiciel Cisco Smart Install.

Par ailleurs, Cisco a publié un guide de sécurisation des appareils ayant recours à Smart Install. L’entreprise recommande d’appliquer la procédure suivante :

  • vérifier si la version de Cisco IOS ou Cisco IOS XE employée est vulnérable ;
  • vérifier si la fonctionnalité Smart Install est activée ;
  • désactiver la fonctionnalité si elle n’est pas utilisée ;
  • filtrer le trafic réseau à destination du port TCP 4786.

Un guide technique permettant de mener à bien les différentes étapes de cette procédure est disponible.

Le ministère iranien des Technologies de l’Information et de la communication a déclaré que plus de 200 000 routeurs dans le monde entier ont été touchés, dont 3 500 en Iran.

 


Références :

Iranian & Russian Networks Attacked Using Cisco’s CVE-2018-0171 Vulnerability

Guide technique Cisco


Référence CERT-XMCO :

CERT-XMCO

Découvrir d'autres articles