1. Des publications récentes mettent en lumière des campagnes d’attaques ciblant spécifiquement les équipements réseau

L’exploitation d’équipements réseau, tels que les routeurs et les commutateurs par des acteurs malveillants est au centre de plusieurs publications récentes diffusées par des éditeurs de solutions de sécurité et par des agences nationales de sécurité des systèmes d’information.

Dans un article du 16 mars 2018 [1], la société Cylance a décrit l’exploitation d’un routeur d’un opérateur de télécommunications au Vietnam, en lien avec une campagne d’hameçonnage à l’encontre d’entreprises du secteur énergétique britannique et ayant eu pour effet l’exfiltration de données d’authentification. Le 5 avril 2018, Talos, l’équipe de recherche en sécurité de Cisco, a publié une alerte [2] concernant l’exploitation de défauts de configuration liés à la fonctionnalité Smart Install de nombreux commutateurs Cisco. Cette alerte fait suite à la publication du 28 mars 2018 faisant état de deux vulnérabilités [3][4] dont une jugée critique menant à une exécution de code à distance concernant cette même fonctionnalité, mais dont l’exploitation n’aurait pas été observée en pratique. Dans un rapport daté du 9 avril 2018, la société Akamai a présenté des vulnérabilités d’infrastructures de réseau liées au protocole UPnP (Universal Plug and Play) : plusieurs milliers de routeurs compromis auraient été utilisés par des attaquants pour conduire des activités malveillantes à grande échelle. Le 16 avril 2018, le FBI et le DHS américains, conjointement avec le NCSC britannique ont publié une alerte [5] relative à l’exploitation depuis 2015 d’infrastructures de réseaux critiques par des acteurs malveillants via l’utilisation de données d’authentification (mots de passe), insuffisamment sécurisées ou récupérées lors de compromissions précédentes, sur les protocoles SNMP (Simple Network Management Protocol), Telnet et SSH (Secure Shell), ou en exploitant des défauts de configuration de la fonctionnalité Smart Install des commutateurs Cisco. Cette alerte a été reprise par l’ACSC australien [6] et commentée par le BSI allemand [7] le 17 avril 2018.

Si des publications récentes mettent en évidence un intérêt prononcé de la part de certains groupes d’attaquants pour les équipements réseaux, les éditeurs antivirus et constructeurs d’équipements réseaux avaient déjà largement publié depuis 2015 sur l’utilisation de portes dérobées insérées dans les routeurs[10][11], démontrant alors dans la durée, que cette famille d’équipements constitue une cible de choix.

Dans le cadre de ses missions de protection des systèmes d’information de l’État, l’ANSSI suit de près les différentes campagnes d’attaques informatiques ciblant les équipements réseau et les modes opératoires associés. Les annonces publiées ces dernières semaines ont ainsi principalement porté sur des modes opératoires ou l’exploitation des services et de vulnérabilités et sont déjà connus de l’ANSSI et suivis dans le cadre de ses travaux.

2. Les équipements réseau constituent des cibles d’intérêt

La faible sécurisation intrinsèque et la sévérité des actions malveillantes possibles suite à leur compromission font des équipements réseau, comme les routeurs et les commutateurs, des cibles privilégiées des attaquants.

Une fois installés et configurés, ces équipements sont parfois oubliés : ils ne disposent que rarement de procédures de mise à jour, de systèmes de remontées d’informations ou de systèmes de détection de codes malveillants. Par souci de simplicité d’utilisation, les constructeurs de ces équipements les distribuent de plus souvent avec des services ouverts par défaut et exploitables à distance, et les opérateurs de ces composants en durcissent rarement la configuration. Par ailleurs, la mise à jour et le redémarrage d’un équipement réseau peuvent entrainer une perte de la continuité de service. Ce manque de maintenance et d’attention, combiné à leur exposition sur Internet, les rend ainsi plus vulnérables que d’autres éléments des systèmes d’information comme les serveurs et les postes utilisateurs.

La compromission de ces infrastructures de réseau est critique car elle permet un contrôle complet des flux les traversant. Par modification de la configuration ou remplacement des images systèmes, un attaquant peut observer, exfiltrer, bloquer ou modifier le trafic réseau sous certaines conditions.

L’observation des flux permet à un attaquant de déterminer l’intérêt de la cible (l’entreprise dont l’accès Internet passe par l’équipement réseau) lors d’une phase de reconnaissance. L’exfiltration permet la récupération de données dès lors que des protocoles non chiffrés sont utilisés, et par exemple de dérober des données d’authentification servant à compromettre d’autres systèmes d’information. Le blocage d’un flux critique permet de réaliser une attaque en déni de service. Enfin, la modification des flux permet de distribuer de fausses informations, de délivrer des ordres erronés à des systèmes, de déposer des charges malveillantes ou encore d’affaiblir le choix des algorithmes négociés dans les protocoles chiffrés (attaque de type downgrade).

Enfin, le positionnement de ces équipements, souvent en amont des solutions réseau de détection et de prévention d’intrusion (NIDS/NIPS), renforce la discrétion de l’activité malveillante.

3. Des vulnérabilités inhérentes à des protocoles ou à des services obsolètes sont exploitées par les groupes d’attaquants

Les groupes d’attaquants ciblent régulièrement des équipements réseaux exposant sur Internet des services insuffisamment sécurisés et utilisant des protocoles connus pour être vulnérables à toute une série d’attaques.

  3.1 SNMPv2

SNMP est un protocole réseau qui permet aux administrateurs de récupérer des informations concernant l’état d’un équipement réseau (accès en lecture), ou de configurer un équipement réseau depuis un serveur de gestion (accès en écriture). La version 2 du protocole utilise comme jeton d’authentification un « nom de communauté » (équivalent à un mot de passe), dont la validation permet sous certaines conditions d’exécuter des actions de supervision ou de configuration.

Cependant, dans sa version 2, le protocole ne prévoit pas de mécanismes de chiffrement des flux lors de l’usage de ces noms de communauté. L’interception et le rejeu du nom de communauté peuvent ainsi permettre à un attaquant, sous certaines conditions, d’exécuter une série d’actions sur l’équipement et notamment de changer le fichier de configuration utilisé par l’équipement.

L’ANSSI constate par ailleurs l’usage fréquent de noms de communautés par défaut ou utilisés par un même acteur sur une partie importante de son parc, et dont des listes sont régulièrement publiées sur Internet, augmentant significativement la probabilité de succès d’une attaque par dictionnaire.

Enfin, le protocole SNMP reposant sur le protocole de transport UDP, un attaquant a la possibilité de forger un paquet en usurpant une adresse IP légitime (IP spoofing), améliorant ainsi sa furtivité et sa capacité à atteindre l’équipement ciblé en cas de filtrage réseau reposant sur des adresses source.

L’utilisation de SNMPv2 est encore couramment constatée sur des équipements exposés sur Internet et l’utilisation de ces faiblesses, utilisées depuis plusieurs années par des attaquants, a été largement documentée.

  3.2 CISCO Smart Install

La fonctionnalité Cisco Smart Install permet le déploiement et la configuration automatique d’un commutateur selon un mode « prêt à l’emploi » (plug and play). Lors de la mise en service d’un appareil, celui-ci pourra alors récupérer automatiquement sa configuration auprès d’un équipement accessible par le réseau en utilisant le protocole TFTP.

Cette fonctionnalité conduit le commutateur à accepter une configuration sans contrôle préalable sur sa provenance. Lorsque le service est exposé sur Internet, un attaquant peut alors forcer le remplacement d’une configuration légitime par une configuration compromise. Il peut ainsi par exemple détourner une partie des flux, monter des tunnels GRE pour créer une capacité d’anonymisation ou encore couper simplement les flux.

Par ailleurs, le 28 mars 2018, Cisco a publié une mise à jour de sécurité pour ses logiciels IOS et IOS XE bénéficiant de la fonctionnalité Smart Install. Cette mise à jour permet de corriger une vulnérabilité permettant l’exécution de code arbitraire à distance et la compromission de l’équipement.

Plusieurs entreprises de sécurité se sont récemment fait l’écho de recherches actives d’équipements exposant un service Cisco Smart Install exposés sur Internet. Le 5 avril 2018, le blog de Cisco Talos a notamment informé la communauté du risque d’exploitation de cette vulnérabilité et a identifié une recrudescence du trafic internet vers les services réseaux vulnérables [2]. Les études de l’ANSSI démontrent qu’à cette date environ deux mille équipements possédant une adresse IP attribuée de manière déclarative à une entreprise française dans la base de données du RIPE exposent la fonctionnalité Cisco Smart Install sur Internet.

  3.3 UPnP

Le protocole UPnP a pour but de faciliter l’échange d’informations entre les différents équipements réseau. En particulier, il permet de signaler les ressources partagées ou mises à disposition sur un réseau. Le support de ce protocole est souvent activé par défaut dans les équipements « communiquant » comme des imprimantes en réseau, des NAS (espace de stockage en réseau) ou bien encore des routeurs.

Ce protocole permet également le déploiement sans configuration d’équipements et ne dispose donc pas, dans certaines conditions, de mécanismes d’authentification. Une utilisation détournée de ce protocole sur un routeur permet alors, sous certaines conditions, de modifier les règles de routage afin d’ouvrir l’accès à un ordinateur sur un réseau local depuis Internet, d’ouvrir l’accès à l’interface d’administration du routeur depuis Internet ou encore de modifier les adresses des serveurs DNS transmises aux utilisateurs du réseau local.

Le CERT-FR a produit un bulletin d’actualité en 2008 décrivant les problématiques d’UPnP dont le lien est disponible à la section documentation.

  3.4 TFTP

Le protocole TFTP permet l’envoi et la réception de fichiers de manière simple. Il est régulièrement utilisé afin de centraliser le stockage des configurations et des images de démarrage (PXE) qui serviront à configurer toute une série d’équipements, des routeurs aux postes bureautiques en passant par les serveurs.

Ce protocole n’embarque aucune fonctionnalité d’authentification ni de chiffrement. Lorsque le service est exposé sans protection complémentaire, un attaquant peut accéder aux configurations des équipements et récupérer par la même occasion les données d’authentification qu’elles contiennent ainsi qu’aux images déployées sur une partie des équipements.

  3.5 Interfaces d’administration

Telnet est un protocole d’administration d’équipements ou de serveurs à distance de type ligne de commande interactive. La configuration par défaut de nombreux équipements active ce protocole qui est par conséquent encore largement utilisé. À titre d’illustration, le moteur de recherche shodan indique au 19 avril 2018 qu’environ 1800 équipements possédant une « IP française » exposent un service Telnet sur internet.

Le protocole Telnet, ne prévoit aucun mécanisme de chiffrement, rendant possible l’interception et le rejeu des logins et mots de passe d’un utilisateur.

De manière générale une interface d’administration est un point d’entrée qu’un attaquant peut utiliser pour accéder à un équipement et doit donc faire l’objet d’une attention particulière. A titre d’exemple et malgré l’utilisation de protocoles a priori sécurisés comme ssh, l’utilisation de mots de passe insuffisamment robustes peut permettre à un attaquant de récupérer un accès sur l’équipement.

L’ANSSI constate l’usage fréquent de mots de passe faibles ou par défaut et utilisés par un même acteur sur une partie importante de son parc informatique, améliorant significativement la probabilité de succès d’une attaque par dictionnaire et augmentant ainsi son niveau d’exposition. L’ANSSI observe en parallèle de nombreuses tentatives de connexion sur les interfaces d’administration au moyen d’attaques par force brute.

4. L’ANSSI recommande la mise en place de mesures de durcissement des équipements réseau.

Les protocoles et services présentés sont connus pour être exploités par une série d’acteurs malveillants qui cherchent à profiter du positionnement stratégique des équipements réseau dans une infrastructure depuis des années.

L’ANSSI a publié en juin 2016 sur son site Internet une note technique qui met en lumière une série de recommandations pour la sécurisation des commutateurs de desserte [9].

De manière plus générale, l’ANSSI recommande la mise en place des mesures suivantes pour l’administration des équipements réseau :

  • réaliser un inventaire des protocoles réseau et des fonctionnalités réellement utilisés pour l’administration de chaque équipement (par exemple SNMP, Telnet, SSH, HTTP, HTTPS, « smart install », TFTP, etc.) ;
  • si un protocole ou un service non sécurisé est actuellement utilisé (SNMP version différente de 3, Telnet, HTTP, etc.), le remplacer par une version sécurisée aux fonctionnalités identiques (SNMP v3, SSH, HTTPS, etc.) en prenant soin de configurer correctement les algorithmes cryptographiques et les secrets utilisés (certificats, etc.) ;
  • désactiver les protocoles réseau non utilisés sur chaque routeur ;
  • n’utiliser que des secrets d’authentification (mots de passe, clés privées, clé pré-partagées, etc.) d’une taille suffisamment longue, ne pas les réutiliser entre équipements et les changer régulièrement ;
  • restreindre, par exemple grâce à des ACL, l’accès aux protocoles d’administration aux seuls réseaux IP des administrateurs. Cependant, le filtrage des protocoles utilisant UDP pouvant être contourné avec de l’usurpation d’adresse IP, l’ANSSI recommande de ne jamais exposer un service d’administration sur Internet. Le service d’administration doit idéalement utiliser un réseau et des postes d’administration dédiés.

L’ANSSI recommande également les mesures suivantes concernant la configuration des équipements :

  • privilégier les équipements disposant de la fonctionnalité de démarrage sécurisé (secure boot) et l’activer ;
  • s’assurer que les routeurs utilisent la dernière version du firmware de l’équipementier et mettre en place un processus de veille et d’application des correctifs de sécurité sur ces composants.

La détection d’activité malveillante sur les équipements de réseau passe par le développement préalable d’une capacité de détection. Cette capacité nécessite notamment:

  • de centraliser les journaux des routeurs sur un collecteur ;
  • de configurer la journalisation des authentifications et des commandes exécutées sur les routeurs et de superviser les accès et les commandes passées sur le routeur à la recherche de comportements illégitimes (suppression d’ACL, connexions à des heures non conventionnelles, exécution de commandes non habituelles) ;
  • d’exporter régulièrement les configurations réelles des équipements et les comparer à une référence de chaque équipement, en traçant les modifications illégitimes (les tunnels sont montés puis démontés régulièrement par les attaquants).

5. Des indicateurs de compromissions permettent de mettre en lumière une activité malveillante

En complément des recommandations sur le durcissement, quelques éléments permettent de détecter une activité suspecte :

  • présence de communications encapsulées dans des tunnels GRE ayant pour source ou destination un routeur ;
  • présence de communications TFTP illégitimes émises depuis un routeur ;
  • plus globalement, présence d’un trafic ne traversant pas le routeur mais émis vers et depuis le routeur ;
  • présence de commandes d’administration illégitimes (modification de configuration, mises à jour suspectes, etc.).

À titre d’exemple, la configuration ci-dessous peut typiquement être déployée par un attaquant sur un équipement compromis afin de monter un tunnel GRE et de rerouter des flux:

interface Tunnel0
ip address 20.20.20.20 255.255.255.0
ip nat outside
ip virtual-reassembly
tunnel source X.X.X.X
tunnel destination Y.Y.Y.Y

access-list 111 permit ip any any

route-map 111 permit 10
match ip address 111
set ip next-hop 20.20.20.30

D’autre part, L’ANSSI confirme les indicateurs de compromission proposés par l’annonce conjointe du NCSC britannique et du DHS américain. En complément, l’ANSSI précise que l’adresse IP 31.7.185.23 a également été observée comme destination de l’exfiltration de statistiques sur les flux réseaux traversant le routeur.

6. Quelques liens utiles

  6.1 Documentation

7. Sources

[1] 16/03/2018, Cylance, Energetic Dragonfly Dymalloy Bear 2.0, https://threatmatrix.cylance.com/en_us/home/energetic-dragonfly-dymalloy-bear-2-0.html
[2] 05/04/2018, Cisco Talos, Critical Infrastructure at Risk: Advanced Actors Target Smart Install Client, https://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html
[3] 28/03/2018, Cisco, Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2
[4] 28/03/2018, Cisco, Cisco IOS and IOS XE Software Smart Install Denial of Service Vulnerability, https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi
[5] 16/04/2018, NCCIC, Alert (TA18-106A) Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices, https://www.us-cert.gov/ncas/alerts/TA18-106A, https://www.ncsc.gov.uk/alerts/russian-state-sponsored-cyber-actors-targeting-network-infrastructure-devices
[6] 17/04/2018, ACSC, Routers targeted – Cisco Smart Install feature continues to be targeted by Russian state-sponsored actors, https://www.acsc.gov.au/news.html
[7] 17/04/2018, BSI, Stellungnahme des BSI zur Technischen Warnung der US- und UK-Cyber-Sicherheitsbehörden, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/bsi_technische_warnungen_us_uk_17042018.html
[8] 09/04/2018, Akamai, UPnProxy: Blackhat Proxies via NAT Injections, https://www.akamai.com/us/en/multimedia/documents/white-paper/upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf
[9] 24/06/2016, Note technique, recommandation pour la sécurisation d’un commutateur de desserte, https://www.ssi.gouv.fr/uploads/2016/07/nt_commutateurs.pdf
[10] 15/09/2015, SYNful Knock – A cisco router implant, https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
[11] 08/10/2015, Evolution of attacks on Cisco IOS devices, https://blogs.cisco.com/security/evolution-of-attacks-on-cisco-ios-devices

Rappel des avis émis

Dans la période du 09 au 15 avril 2018, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :