Les révélations autour des outils appartenant au groupe de pirates Equation semblent liées de près à certains documents diffusés par Edward Snowden. Une ancienne faille dans des produits Cisco expliquerait ainsi comment la NSA était capable de déchiffrer un millier de connexions VPN par heure.
Il y a quelques semaines, un groupe de pirates s’attaquait à Equation Group, une autre association de malfaiteurs connue pour s’être tenu derrière certaines menace de haut vol, dont Stuxnet, Duqu et Flame. L’archive publiée par les Shadow Brokers contenait des outils pour exploiter des failles 0-day chez plusieurs constructeurs de matériel réseau, dont Cisco et Fortinet. Un ensemble de correctifs avait rapidement suivi.
Une faille dans les vieux pare-feu PIX de Cisco
En analysant ces outils, le chercheur en sécurité Mustafa Al-Bassam s’est rendu compte que l’un d’entre eux, BenignCertain, visait de nombreuses versions de PIX (Private Internet EXchange), une gamme de pare-feu vendue par Cisco par le passé. Il cible une faille dans l’implémentation du protocole Internet Key Exchange, qui permet d’établir une connexion sécurisée via des certificats.
En envoyant un paquet spécialement conçu à un PIX, le pare-feu expédie en retour un tronçon de mémoire. Un parseur permet alors l’analyse des données et l’extraction de la clé VPN pré-partagée, ainsi que d’autres informations. Aucun préparatif n’est nécessaire, l’outil étant utilisable tel quel, par n’importe qui ayant un minimum de connaissances techniques.
Plus de 15 000 réseaux utilisent encore des PIX
Comme l’indique Ars Technica, Cisco a été averti de cette faille. Mais puisqu’elle visait une gamme de produits dont le support était arrêté depuis 2009, le constructeur s’en est tenu à cette ligne de conduite. La société s’est cependant ravisée et a indiqué qu’une équipe s’était finalement penché sur la question. Il en est ressorti que toutes les versions 6.X et antérieures de PIX étaient vulnérables, mais que les moutures 7.0 et ultérieures ne l’étaient pas. Les pare-feu actuels ASA (Adaptive Security Appliance) ne sont pas non plus concernés.
Si la découverte est importante en dépit de l’âge de la vulnérabilité, c’est parce qu’elle soulève deux points majeurs. Premièrement, les pare-feu PIX sont toujours utilisés. Comme souligné par nos confrères, le moteur de recherche Shodan permet de mettre en évidence pas loin de 17 000 réseaux qui disposent encore de ces équipements, particulièrement en Russie, aux États-Unis et en Australie. L’exploitation fonctionnant sur les versions 5.3(9) à 6.3(4), une partie d’entre eux est donc nécessairement vulnérable.
NSA : ceci explique cela
Deuxièmement, la découverte renvoie vers des informations particulières qui étaient apparues dans la documentation dérobée à la NSA par Edward Snowden. Le journal allemand Der Spiegel, l’un des premiers à accéder à ces précieuses données, avait publié en 2014 un article révélant certaines de ces informations, en particulier une : la NSA affirmait être en capacité de décrypter ou déchiffrer 1 000 connexions VPN par heure.
Le flou autour de l’action s’expliquait par une interrogation : l’agence américaine de renseignement possédait-elle les clés ? Au vu des liens forts existant entre Equation Group et la NSA, l’outil BenignCertain expliquerait facilement la raison de cette affirmation. Le terme adapté serait alors bien « déchiffrer » puisqu’il s’agissait de récupérer les clés de déchiffrement.
Il faut noter également que BenignCertain est lié de près à un autre outil de l’arsenal d’Equation Group, FalseMorel. Ce dernier est conçu pour extraire le mot de passe donnant accès, sur les pare-feu PIX, à la console d’administration. Or, BenignCertain vérifie la possibilité de cette autre attaque pendant qu’il s’adonne à sa mission.
Pas de correctif pour les vieux pare-feu touchés
Reste que les équipements vulnérables le resteront. La gamme PIX – toutes versions confondues – n’est plus supportée depuis 2009, Cisco ajoutant qu’utiliser du matériel non entretenu ne peut qu’accroitre les risques de manière exponentielle avec le temps. En d’autres termes, les équipements concernés doivent être remplacés au risque de voir de nombreuses informations fuiter.
Commentaires (21)
“En d’autres termes, les équipements concernés doivent être remplacés au risque de voir de nombreuses informations fuiter.”
N’est-ce pas une forme de chantage ?
Plus supporté depuis 2009, cela fait longtemps qu’ils auraient dut être changé ^^
Bel exemple d’obsolescence “programmée”.
Le produit est defective by design, Cisco doit faire son job.
D’habitude les patchs de sécurité continue de sortir même après la fin du support, pas éternellement mais durant quelques années, bon là 7ans après c’est logique.
Au moins Cisco a réécrit complétement ces nouvelles versions sans se baser entièrement sur les anciennes ce qui n’est pas le cas de certains éditeurs où des années plus tard une faille 0-Day est découverte et touche tous leur produit depuis 10ans.
J’vais me lancer dans une carrière de script-kiddie moi. Avec tous les outils qui ont fuités, ça à l’air facile d’être un hacker aujourd’hui 
" />
Pour certains, moyennant finance, tu peux continuer de recevoir des mises à jour de sécurité durant quelques années, mais le coût est souvent dissuasif.
D’ailleurs, j’aimerai bien savoir combien de patch de securité ont reçu les postes du gouvernement britannique, qui avait juste souscrit pour une année supplémentaire de patch après la fin du support de Windows XP.
C’est en partie de l’obsolescence programmée à la limite puisque l’arrêt du support force le changement.
En partie parce que le fonctionnement est toujours là, tu n’as pas les nouveautés (et nouveautés = correction de sécurité)
Si la phrase d’après fait référence à un PC monté toi-même avec n’importe quelle distri linux dedans et un firewall fait à la mano dedans, tu passes directement dans la case des bricoleurs du dimanche qui s’inventent expert sécurité.
On va dire que c’est ça
" />
J’ai l’impression de t’avoir insulté personnellement, désolé si j’ai heurté ta sensibilité, ce n’était pas mon intention. :)
Non, une correction de securité n’est pas une nouveauté, c’est come je l’ai dit plus haut, un produit defective by design.
Si la serrure de ta porte comporte une faille, tu vas t’en acheter une autre ou revenir vers ton fournisseur en lui disant clairement c’est quoi ce bordel y a des mecs qui sont peut etre rentrés chez moi alors que j’ai payé une serrure dont la fonction premiere est de fermer la porte ! Et ce, meme dans dix ans… .
Pas ad vitam aeternam bien sur, de toute maniere c’est pas possible vu l’avancée des protocoles, IPv4 vers IPv6 meme si c’est pas encore fait entierement, ou par exemple TCP qui finira aussi par y passer .
C’est une faille de base du produit, elle doit etre corrigée.
C’est du matos qui a 12 ans quand même… La gamme a été commercialisée en 2004 et arrêtée en 2009.
Faire tourner son réseau sur ce genre de produit c’est quand même pas ce qu’il y a de mieux à faire. (sans parler du risque de panne)
On parle quand même de firewall, donc un composant qui est loin d’être neutre dans la sécurité du réseau. Utiliser du matériel obsolète pour cette partie c’est suicidaire… C’est comme si tu faisais tourner tes serveurs de prod sur des machines sans support ni maintenance qui ont 10 ans.