200 routeurs Cisco infectés par des firmware dans 31 pays - Actualités RT Sécurité

200 routeurs Cisco infectés par des firmware dans 31 pays

le 22/09/2015, par Lucian Constantin, IDG NS, Sécurité, 390 mots

L'attaque dont sont victimes les routeurs Cisco est plus importante que ce qui était initialement supposé. Deux sources d'information confirment ce que l'équipementier avait lui-même déjà souligné dès le mois d'août.

200 routeurs Cisco infectés par des firmware dans 31 pays

Lundi, la division Mandiant de FireEye a mis en garde contre de nouvelles attaques qui remplacent le firmware ou les services intégrés des routeurs Cisco. Le firmware coupable fournit aux attaquants des accès backdoor qualifiés de persistants et la possibilité d'introduire des modules logiciels malveillants personnalisés.  Actuellement, Mandiant explique avoir détecté 14 firmwares, par le backdoor, nommé SYNfull Knock dans quatre pays : Mexique, Ukraine, Inde, Philippines. Sont concernés, les routeurs Cisco 1841, 8211 et 3825, mais ils ne sont plus commercialisés par Cisco.

La Fondation Shadowserver, spécialisée sur la cybersécurité, a mené une enquête, un scan sur Internet avec l'aide de Cisco, afin d'identifier les matériels potentiellement compromis. Cette enquête confirme les soupçons émis par Mandiant, plus de 14 routeurs sont bien infectés par SYNful Knock. Shadowserver et Cisco ont identifié 199 adresses IP uniques dans 31 pays qui montrent de signes inquiétants de compromission avec le malware.  Le plus grand nombres se situe aux Etats-Unis, avec 65 routeurs potentiellement infectés, l'Inde en dénombre 12 et la Russie 11.

« Souligner la gravité de cette activité malveillante »

Prochaine étape, Shadowsever prévoit d'avertir les propriétaires des réseaux concernés, ceux qui ont souscrit un service d'alerte gratuit de l'organisation, si le routeur compromis tombe sur leur adresse IP. « Il est important, rappelle l'organisation dans un billet de blog lundi, de souligner la gravité de cette activité malveillante. Les routeurs compromis devraient être identifiés et assainis, c'est une priorité absolue ».

En contrôlant les routeurs, les attaquants acquièrent la capacité à appréhender et à modifier le trafic réseau, rediriger les utilisateurs vers des sites web falsifiés et lancer d'autres attaques contre les dispositifs de réseau local qui seraient autrement inaccessibles à partir d'Internet. Les matériels visés par les attaques  SYNful Knock sont généralement des routeurs de qualité professionnelle utilisés par les entreprises ou les fournisseurs d'accès Internet, leur compromission pourrait donc toucher un grand nombre d'utilisateurs.

Cisco est conscient depuis plusieurs mois que des assaillants utilisent des firmware voyous. La société a publié un avis de sécurité en août avec des instructions sur la manière de renforcer les dispositifs contre de telles attaques.

En illustration : le logo de la Fondation Shadowserver qui a mené un scan Internet avec  l'aide de Cisco sur l'attaque SYNful Knock

Cisco corrige des failles SIP dans ses téléphones IP Series 8800 et...

Plusieurs vulnérabilités SIP affectent les téléphones IP des séries 8800 et 7800 de Cisco ont été corrigées. Le fournisseur recommande d'appliquer les patchs rapidement. Cette semaine, Cisco a conseillé aux...

le 22/03/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), 576 mots

Australie : La blockchain d'IBM utilisée pour la traçabilité de la...

Thomas Foods International et Drakes Supermarket ont dévoilé un projet de blockchain pilote basé sur la solution IBM Food Trust. Les premiers résultats sont encourageants. Le plus gros détaillant de produits...

le 20/03/2019, par George Nott, IDG NS (adapté par jean Elyan), 855 mots

Tom Gillis (VP réseau et sécurité VMware) : « Le SDN a un pouvoir...

Dans un entretien accordé à notre confrère IDG NS, Tom Gillis, responsable de la sécurité et des réseaux de VMware, est revenu à la concurrence avec Cisco, l'évolution de la plateforme NSX. IDG NS. Voilà...

le 18/03/2019, par Michael Cooney, IDG NS (adapté par Jean Elyan), 672 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »