Une nouvelle menace de cybersécurité vient d’être mise au jour, impliquant l’exploitation d’une vulnérabilité zero-day sur des équipements réseau Cisco largement utilisés. Voici ce que vous devez savoir sur cette menace émergente.
Une faille critique dans les switches Cisco Nexus
Le 1er juillet 2024, Cisco a publié un avis de sécurité concernant la vulnérabilité CVE-2024-20399, découverte par la société de cybersécurité Sygnia. Cette faille affecte l’interface en ligne de commande (CLI) du logiciel Cisco NX-OS, présent sur de nombreux modèles de switches Nexus [1].
La vulnérabilité, identifiée comme CVE-2024-20399, a reçu un score CVSS de 6.0, ce qui la classe dans la catégorie de gravité moyenne. Elle concerne plusieurs séries de switches Cisco, notamment les séries MDS 9000, Nexus 3000, 5500, 5600, 6000, 7000 et 9000 [1].
Mécanisme d’exploitation
Concrètement, cette vulnérabilité permet à un attaquant disposant d’identifiants administrateurs valides d’injecter et d’exécuter des commandes arbitraires sur le système d’exploitation Linux sous-jacent du switch. Cela ouvre la porte à une compromission complète de l’équipement.
L’exploitation de cette faille nécessite que l’attaquant possède déjà des identifiants de niveau administrateur et un accès réseau au switch Nexus. Cela signifie qu’un groupe malveillant doit d’abord obtenir un accès initial au réseau interne de l’organisation pour exploiter cette vulnérabilité [2].
Exploitation active par un groupe APT chinois
L’enquête de Sygnia a révélé que cette faille a été activement exploitée comme zero-day par un groupe de cyberespionnage lié à la Chine, baptisé « Velvet Ant » [2].
Ce groupe a réussi à déployer un malware personnalisé sur les switches Cisco compromis, lui permettant de :
- Se connecter à distance aux équipements
- Télécharger des fichiers supplémentaires
- Exécuter du code malveillant
Implications pour la sécurité des réseaux
Cette opération sophistiquée démontre la tendance des acteurs étatiques à cibler les équipements réseau, souvent moins bien surveillés que les serveurs traditionnels. Les appliances réseau, en particulier les switches, sont fréquemment négligées en termes de surveillance et leurs logs ne sont souvent pas transférés vers un système de journalisation centralisé [2].
Cette lacune dans la surveillance crée des défis importants pour identifier et investiguer les activités malveillantes sur ces équipements critiques. L’incident souligne l’importance d’une approche de sécurité globale, incluant tous les composants de l’infrastructure réseau.
Conclusion
Cette nouvelle menace met en lumière la sophistication croissante des groupes APT et leur capacité à exploiter des vulnérabilités zero-day sur des équipements réseau critiques. Elle souligne l’importance d’une vigilance constante et d’une stratégie de sécurité englobant l’ensemble de l’infrastructure réseau, y compris les équipements souvent négligés comme les switches.
Sources :
[1] Avis de sécurité Cisco : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-cmd-injection-xD9OhyOP
[2] Rapport Sygnia : https://www.sygnia.co/threat-reports-and-advisories/china-nexus-threat-group-velvet-ant-exploits-cisco-0-day/
