Connexion
Abonnez-vous

Vault 7 : des switchs Cisco victime d’une faille critique, Telnet doit être désactivé

La course au correctif

Vault 7 : des switchs Cisco victime d'une faille critique, Telnet doit être désactivé

Le 20 mars 2017 à 13h09

Cisco a publié ce week-end un important bulletin de sécurité portant sur une faille critique, découverte en analysant les documents Vault 7 fournis par Wikileaks. Elle se trouve dans les systèmes IOS et IOS EX dans de très nombreux modèles de commutateurs (switchs). Sans correctif, la seule solution est pour l’instant de couper Telnet.

La semaine dernière, Wikileaks a fini par indiquer que les sociétés concernées par les failles découvertes dans les documents Vault 7 seraient contactées directement. L’organisation a été critiquée pour avoir éventé les vulnérabilités sans chercher à prévenir d’abord les entreprises. Problème soulevé, l’impossibilité de préparer une réponse en amont afin que les utilisateurs touchés soient protégés au moment des révélations.

Ces critiques étaient d’autant plus mises en lumière que toutes ces sociétés travaillent toujours de la même façon : elles n’apprécient généralement que les diffusions discrètes d’informations. Au contraire, elles s’agacent très rapidement des publications ouvertes, quand une course contre la montre s’engage entre les développeurs qui doivent concevoir le correctif, et les pirates qui vont chercher à l’exploiter. Si ce n’est pas déjà fait.

Cisco concerné par les révélations, une faille critique exploitable via Telnet

L’équipementier réseau a publié ce week-end un bulletin portant sur une importante faille critique (CVE-2017-3881) découverte à la lecture des documents de Wikileaks. Elle est exploitable sur des centaines références de commutateurs (switchs), parmi lesquels les modèles Catalyst, Embedded Service 2020, Enhanced Layer 2/3 EtherSwitch Service Module, Enhanced Layer 2 EtherSwitch Service Module, ME 4924-10GE, IE Industrial Ethernet switches ou encore les RF Gateway 10.

En tout, 264 références de commutateurs Catalyst, 51 modèles Ethernet et trois autres divers sont concernés. Et malheureusement, la faille est exploitable à distance et de manière assez simple, par envoi d’instructions Telnet spécialement conçues pour provoquer un redémarrage de l’équipement, avant de lui faire exécuter un code arbitraire. Le risque de mise en place d’un malware est donc sérieux.

Un sérieux problème dans le protocole CMP d’IOS et IOS EX

La vulnérabilité se situe dans le Cluster Management Protocol que l’on trouve dans les systèmes d’exploitation IOS et IOS EX, présent dans un grand nombre de produits réseau de l’entreprise.

Ce protocole particulier sert en temps normal à communiquer des informations entre les commutateurs au sein d’une même grappe (cluster). Ces informations sont transférées automatiquement via Telnet ou SSH. Or, la faille peut être exploitée même quand l’administrateur n’a défini aucun cluster et avec la configuration par défaut de l’équipement, ce qui la rend d’autant plus dangereuse.

Exploitable avec IPv4 et IPv6, la brèche est aggravée par certains points que les chercheurs de chez Cisco ne cachent pas, notamment que le CMP devrait être limité à la seule utilisation des équipements en grappe. Ces derniers peuvent être alors contactés via des requêtes Telnet afin de provoquer une chaine d’erreur qui aboutira à la prise de contrôle.

Aucun correctif pour le moment, Telnet doit être désactivé

Dans un cas qui illustre parfaitement les critiques formulées à l’encontre de Wikileaks, Cisco avertit par la même occasion qu’aucun correctif n’est pour l’instant disponible, quel que soit l’équipement concerné.

De fait, au vu du nombre de modèles touchés et de la facilité d’exploitation, le conseil de Cisco est simple : désactiver Telnet, et ne plus utiliser que SSH. La société est consciente que le changement peut inclure une cassure dans les habitudes, mais le risque est réel. L’équipementier précise toutefois ne pas être au courant d’attaques en cours basées sur cette faille, mais une telle situation peut rapidement changer, d’autant que les détails sont désormais connus.

Le cas rappelle les évènements d’août et septembre 2016, quand les Shadow Brokers avaient réussi à pirater Equation Group, proche de la NSA. Des outils et des détails de failles avaient été publiés, entrainant chez Cisco et Fortinet une vague de correctifs

Commentaires (51)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

J’ai jamais utilisé Telnet. 



Bah du coup je vais vérifier comment le virer sur mes switch et sur mon ASA. 

votre avatar

Je pense que pour la configuration lors de la réception de l’appareil, c’est plus facile.

votre avatar







bennysan a écrit :



Faut chercher les emmerdes pour utiliser encore telnet…



J’me demande bien pourquoi cisco met encore ce truc dans leur OS.





Bah y’a toujours DOS dans Windows…&nbsp;<img data-src=" />


votre avatar

Parce que je le Vault bien.

OK je sors

votre avatar

Aucun rapport <img data-src=" />

votre avatar

C’est une métaphore… Telnet est un ancêtre tout comme DOS…. Ça se voit que c’est lundi, certains n’ont pas encore leur cerveau connecté&nbsp;<img data-src=" />

votre avatar

Désolé je suis dans un banque et le telnet est très utilisé de nos jours…

Donc voila ….

votre avatar







foxraph a écrit :



Désolé je suis dans un banque et le telnet est très utilisé de nos jours…

Donc voila ….







j’ai l’impression que les banques gardent quand même pas mal de vieux truc, tant que ça marche, genre les terminaux de CB qui passe par une ligne téléphone RTC, j’ai entendus parlais de serveur encore avec des soft Cobols, les xp embeded dans les DAB….


votre avatar

Nope, plus de puis XP.

votre avatar

En fait, suite à une erreur 2 news se sont retrouvées concaténées.

Il fallait lire:&nbsp;

Première info: Vault 7 : des switchs Cisco victime d’une faille critique

Deuxième info: telnet doit être désactivé

<img data-src=" />



Edit: Pas toujours évident de taper les accents sur qwerty

votre avatar

La première version de SSH a été publiée en 1995. Compte ensuite plusieurs années pour qu’il devienne suffisamment populaire pour être intégré aux firmware de ce genre d’équipement. Puis encore beaucoup d’autres années pour que même les netadmins de bonne volonté se voient accorder l’autorisation de mettre à jour les firmwares et les confs de leurs équipements critiques. En 2017 il y a encore beaucoup de switches et routeurs en prod qui tournent sur des firmwares qui ne savent même pas qu’il existe autre chose que TELNET et SNMPv1.

Ah! Et ne parlons pas des matériels industriels et scientifiques (pour citer wikipedia) vendus aujourd’hui et qui ne supportent toujours pas mieux que telnet.

Donc, oui. Il y a encore du telnet un peu partout.

votre avatar

J’attendais cette réponse….&nbsp;<img data-src=" />



Quid de la différence entre cmd.exe (utilisé par les batchs) et MS-DOS? Ce sont les mêmes commandes, les mêmes fonctions donc je pense que DOS est présent depuis toujours dans Windows, 10 inclus !

votre avatar







Jungledede a écrit :



j’ai l’impression que les banques gardent quand même pas mal de vieux truc, tant que ça marche, genre les terminaux de CB qui passe par une ligne téléphone RTC, j’ai entendus parlais de serveur encore avec des soft Cobols, les xp embeded dans les DAB….





Sérieux????

Pour info le banquaire c’est majoritairement en cobol. C’est pas seulement quelques serveurs…

Et Cobol même si c’est vieux ca reste très robuste et c’est pas pour rien que c’est encore utilisé…


votre avatar

cmd reprends la syntaxe dos et certains binaires, ce n’est pas dos.

cmd est une interface ligne de commande (cli).&nbsp;

dos est un os, muni d’une cli qui est cmd.&nbsp;



https://scalibq.wordpress.com/2012/05/23/the-windows-command-prompt-is-not-a-dos…

https://superuser.com/questions/451432/are-the-command-prompt-and-ms-dos-the-sam…

https://www.lifewire.com/command-prompt-2625840&nbsp;

votre avatar

Ce n’est pas chiffré. C’est souvent encore buggué. Ce n’est absolument pas protégé contre les MitM. Ca fait plus de 20 ans que tous ceux qui savent de quoi ils parlent disent qu’il ne faut plus l’utiliser. Comme toute la suite des protocoles “en r” (RLOGIN, RSH, RCP).

Notez que pour exactement les mêmes raison, il ne faudrait plus utiliser FTP non plus… Je dis ça, je dis rien…

votre avatar

Une explication plus technique aurait été bienvenue pour expliquer fondamentalement la différence parce que là c’est un peu léger…

votre avatar

mais telnet aujourd’hui à part servir de porte d’entrée pour les failles de sécu, c’est encore utilisé, surout face a SSH ?

votre avatar

Seule solution pour rendre internet sécurisé : repartir d’une page blanche !

&nbsp;

votre avatar

Ne pas utiliser de routeurs Cisco et utiliser du matos interne serait la solution.



<img data-src=" />

votre avatar

Comme quoi, vaut mieux acheter des switch Nintendo

votre avatar

Je me pose la même question…

votre avatar

“la seule solution est pour l’instant de couper Telnet.”&nbsp;Si pas fait il y a 10 ans !&nbsp;<img data-src=" />

votre avatar







Gritou a écrit :



Comme quoi, vaut mieux acheter des switch Nintendo





8,5100, on est que lundi.


votre avatar

Ceux qui utilisent Telnet méritent ce qui leur arrive <img data-src=" />

votre avatar

J’utilise pas Telnet, mais pourquoi tout le monde hurle quand on dit que on utilise Telnet? C’est pas chiffré?

votre avatar

Faut chercher les emmerdes pour utiliser encore telnet…



J’me demande bien pourquoi cisco met encore ce truc dans leur OS.

votre avatar

telnet est à 100% du texte

votre avatar

Ayant travaillé pour un infogérant ayant un AS, je peux vous confirmer que Telnet a encore de beaux jours devant lui.

Je n’arrive toujours pas à comprendre la tête de mes supérieurs lorsque je leur demandais pourquoi on utilisait encore telnet sur les équipements critiques genre des firewalls client…



mouala mouala mouala…

votre avatar

déjà telnet et ssh n’ont pas la même fonction, ssh sert à établir une connexion sécurisé avec un protocole particulier.

Telnet te permet de te connecter sur un port et d’envoyer en brut du texte sur le port en écoute, typiquement tu peux y faire n’importe quel protocole si tu envoie le texte attendu par le protocole en écoute.



Donc ne pas confondre les deux, et surtout aucun n’est mieux que l’autre, ils ont juste des fonctionnalités différentes ou dans certain cas leurs usages se rejoignent (config de switch où effectivement ssh est mieux).



je sais que ce n’est pas forcément le sujet mais je trouve dommage que les gens disent telnet c’est nul sans vraiment comprendre pourquoi =)

votre avatar







AltreX a écrit :



Telnet te permet de te connecter sur un port et d’envoyer en brut du texte sur le port en écoute, typiquement tu peux y faire n’importe quel protocole si tu envoie le texte attendu par le protocole en écoute.





netcat est bien plus adapté à cet usage là


votre avatar

je connais pas, du coup possible, j’irais voir ce qu’il en est.

merci pour l’info.

votre avatar

Je me vois bien alerter les collègues du réseau avec cette news et eux de me répondre que je suis bien gentil mais que telnet il va rester actif puisque de toute façon les matos actifs ont leur propre vlan d’administration complètement isolé de ceux de production.

votre avatar

De toute façon telnet ne sert plus qu’à regarder Star Wars Episode IV

telnet towel.blinkenlights.nl









sylvere a écrit :



netcat est bien plus adapté à cet usage là





Et socat encore plus <img data-src=" />



votre avatar

Il manque juste le son.



Merci de m’avoir rappelé l’existence de cette merveille.

votre avatar

Et merci à l’actu de me l’avoir rappelé indirectement <img data-src=" />

votre avatar

Je me suis édité mais par clarté :



dos est un système d’exploitation, qui présente une interface en ligne de commande à l’utilisateur (cmd).

cmd sur les windows moderne n’est qu’une interface en ligne de commande (autrement nommé cli, command line interface).

votre avatar

Merci je vais être tatillon… cmd permet tout comme DOS de lancer des programmes (32 bits ou originalement créé pour DOS), de manager des dossiers, de faire exactement ce que fait un OS en ligne de commande, donc désolé mais cmd c’est DOS&nbsp;<img data-src=" />

votre avatar







Henri_MTL a écrit :



Merci

je vais être tatillon… cmd permet tout comme DOS de lancer des

programmes (32 bits ou originalement créé pour DOS), de manager des

dossiers, de faire exactement ce que fait un OS en ligne de commande,

donc désolé mais cmd c’est DOS&nbsp;<img data-src=" />





Non.



Sur un OS MS-DOS, tu peux faire tourner les vieux jeux sans soucis.

Depuis XP (et NT/2000 ?), tu dois utiliser un émulateur (DosBox, …).



CQFD.


votre avatar

Bah non, puis que l’OS c’est le WIndows qui fait tourner cmd.exe.

votre avatar

A propos de DOS/CMD&nbsp;&nbsp;&nbsp;-&nbsp;CMD est un&nbsp;interpréteur de commande



&nbsp;-&nbsp;DOS est un système d'exploitation (donc pas possible que DOS soit présent dans Windows XP et les autres)      







&nbsp;A propos de Cisco



&nbsp;-&nbsp;SSH n'est pas toujours disponible:&nbsp;The Cisco IOS image used must be a k9(crypto) image in order to support SSH      

&nbsp;-&nbsp;Source:&nbsp;http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ssh/4145-ssh.html&nbsp;
votre avatar

Telnet&nbsp;<img data-src=" />

C’est le premier truc que je désactive quand je configure des nouveaux switch…

votre avatar

Là on ne parle pas d’un telnet sur un serveur à travers internet. Il est question de l’interface de switch managés.

Quand c’est soit telnet soit interface web, il n’est pas certain que le telnet soit le moins sécurisé.

Bon, c’est vrai qu’on trouve du ssh, et dans ce cas, telnet ne sert qu’à aller déposer ta clef publique ssh.

&nbsp;

votre avatar

J’ai bien vu les réponses déjà faites, mais comme dans votre échange un point n’a pas été mentionné, je le signale:

Le langage des .bat vus par cmd.exe (NT, XP, et les suivants) a des fonctionnalités en plus que celui de command.com (DOS et les Windows 9x). Pour avoir écrit (à mon corps défendant) des scripts dans ce langage, j’ai apprécié les apports.

votre avatar

DOS n’est pas inclus dans windows, aucun des sous programmes de cmd ne fonctionne sous dos,s ce sont des exe win32. &nbsp;Le seul moyen de faire du DOS sous windows NT est d’installer la vm dos (NTVDM).

votre avatar

cmd.exe est le shell de DOS qui à été conservé sous windows. Il n’à pas de noyau, pas de gestion d’I/O ou de memoire, ça n’est pas un OS, et donc pas DOS.



Par exemple, Bash est présent sur plein d’OS différents, ça n’en fait pas des Debian.

votre avatar

News sans intéret, désactiver telnet sur un switch/router cisco neuf est une des premières manips faite, simple sécurité

&nbsp;

votre avatar

Merci, là j’ai compris&nbsp;<img data-src=" />

votre avatar

telnet ? déjà quand j’étais étudiant en BTS, le prof nous disait de ne jamais l’utiliser et de le désactiver. tout passe en clair là dessus.



c’était mmm en 2002 ?



les seules fois ou j’utilise telnet c’est pour mettre à jour des firmware sur des équipements ubiquiti en mode “firmware recovery”, donc déconnecté du réseau, juste connecté au laptop.

votre avatar

La grande majorité des terminaux cb fonctionne avec une connection internet (via une interface ethernet ou 3g) mais sont compatible rtc pour leur permettre de fallback en cas de coupure de la connection.

votre avatar

Telnet n’est pas un mauvais gars, il ne sert pas juste a configurer les switch (c’est un des usages et pas le meilleur) il faut arrêter de crier quand on parle de telnet.

votre avatar

Explique-nous dans quel contexte, il vaut mieux utiliser telnet que ssh quand les 2 sont disponibles ?

Vault 7 : des switchs Cisco victime d’une faille critique, Telnet doit être désactivé

  • Cisco concerné par les révélations, une faille critique exploitable via Telnet

  • Un sérieux problème dans le protocole CMP d’IOS et IOS EX

  • Aucun correctif pour le moment, Telnet doit être désactivé

Fermer