Qu’est-il arrivé à Internet : attaque des commutateurs Cisco

12 Avr 2018

Imaginez que votre connexion internet soit subitement coupée ou que vous ne pouviez pas accéder à votre site internet préféré. Il y a une explication. Selon nos sources, une attaque de grande envergure a actuellement lieu contre les commutateurs Cisco. Ces commutateurs sont utilisés dans les centres de données des quatre coins du monde.

 

 

Un bot à la poursuite de Cisco

Il semblerait que l’attaque se produise de la façon suivante. Des hackers inconnus exploitent les vulnérabilités d’un logiciel appelé Cisco Smart Install Client pour exécuter des codes arbitraires sur les commutateurs vulnérables. Ensuite, l’exploitation permet aux malfaiteurs de réécrire l’image Cisco IOS sur le commutateur réseau, et de modifier le fichier de configuration. Le commutateur devient indisponible après l’affichage du message « Do not mess with our elections » (« Ne jouez pas avec nos élections »).

Apparemment, il existerait un bot qui recherche les commutateurs réseaux Cisco vulnérables via le moteur de recherche Shodan, et qui exploite les vulnérabilités trouvées ; ou peut-être qu’il utilise le propre service de Cisco conçu pour chercher les commutateurs vulnérables. Une fois qu’il a trouvé le commutateur vulnérable, il exploite le logiciel Smart Install Client, réécrit la configuration puis retire un autre segment d’Internet. Par conséquent, certains centres de données sont indisponibles, et ensuite, certains sites populaires sont hors service.

Selon Cisco Talos, plus de 168 000 dispositifs sur Shodan ont cette vulnérabilité. Il faut encore déterminer l’envergure de l’attaque. Cependant, elle pourrait être importante, avec un impact sur les fournisseurs d’accès à Internet et les centres de données. Il semblerait que l’attaque touche principalement les segments d’Internet du marché russe, mais il est certain que d’autres segments sont plus ou moins affectés.

Nous analysons actuellement l’attaque, et nous vous fournirons plus de détails dans cet article lorsque nous les aurons

Pour les administrateurs système : comment gérer cette situation

Initialement, la fonction Smart Install devait être un instrument pour les administrateurs système pour faciliter leur travail. Cette fonction permet de réaliser des configurations à distance, et de gérer l’image d’OS depuis les commutateurs Cisco. En d’autres termes, vous pouvez utiliser l’équipement depuis un site à distance et tout configurer depuis le QG, appelé Zero Touch Deployment. Pour qu’il soit possible d’utiliser cette fonction, Smart Install Client doit être activé et le port TCP 4786 devrait être ouvert. Les deux options sont activées par défaut.

Afin de vérifier si Smart Install fonctionne, vous pouvez exécuter la commande « show vstack config » sur votre commutateur. Si le commutateur vous donne une réponse positive, cela signifie que Smart Install est activé, et il vaut mieux le désactiver avec la commande no vstack.

Cependant, pour certains système d’exploitation de Cisco, il ne fonctionnera que jusqu’à ce que le commutateur soit rebooté (Commutateurs Cisco Catalyst 4500 et 4500-X avec le système 3.9.2E/15.2(5)E2 ; Commutateur Cisco Catalyst 6500 avec les versions système 15.1(2)SY11, 15.2(1)SY5, et 15.2(2)SY3 ; Commutateur Ethernet industriel 4000 avec les systèmes 15.2(5)E2 and 15.2(5)E2a ; et Commutateur d’accès Ethernet Cisco ME 3400 et ME 3400E avec l’OS 12.2(60)EZ11). Dans ce cas, il est recommandé de mettre à jour, voire de rétrograder, la version du système, ou de lancer l’exécution automatique de la commande « no vstack« . Afin de détecter la version du système d’exploitation que vous utilisez, vous pouvez exécuter la commande « show version« .

Si les processus de votre entreprise ne vous permettent pas d’éteindre Smart Install, ou si la version de votre OS de Cisco ne supporte pas la commande « no vstack » (ce qui est possible puisque cette fonction a été ajoutée avec un des patchs), alors vous devrez limiter les connexions au port 4786. Cisco recommande de réaliser cette action en utilisant Interface Access Control Lists, pour que seuls les équipements autorisés puissent se connecter à vos commutateurs à travers ce port. Dans l’exemple ci-dessous l’équipement se trouve sur l’adresse IP 10.10.10.1. Exemple :

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any

Si vous souhaitez en savoir plus sur cette vulnérabilité, vous pouvez lire ce rapport. Vous pouvez trouver plus d’informations sur Cisco Smart Install Protocol Misuse ici.