Imaginez que votre connexion internet soit subitement coup\u00e9e ou que vous ne pouviez pas acc\u00e9der \u00e0 votre site internet pr\u00e9f\u00e9r\u00e9. Il y a une explication. Selon nos sources, une attaque de grande envergure a actuellement lieu contre les commutateurs Cisco. Ces commutateurs sont utilis\u00e9s dans les centres de donn\u00e9es des quatre coins du monde.<\/p>\n
\u00a0<\/p>\n
\u00a0<\/p>\n
Un bot \u00e0 la poursuite de Cisco<\/strong><\/p>\n Il semblerait que l\u2019attaque se produise de la fa\u00e7on suivante. Des hackers inconnus exploitent les vuln\u00e9rabilit\u00e9s d\u2019un logiciel appel\u00e9 Cisco Smart Install Client pour ex\u00e9cuter des codes arbitraires sur les commutateurs vuln\u00e9rables. Ensuite, l\u2019exploitation permet aux malfaiteurs de r\u00e9\u00e9crire l\u2019image Cisco IOS sur le commutateur r\u00e9seau, et de modifier le fichier de configuration. Le commutateur devient indisponible apr\u00e8s l\u2019affichage du message \u00ab\u00a0Do not mess with our elections\u00a0\u00bb (\u00ab\u00a0Ne jouez pas avec nos \u00e9lections\u00a0\u00bb).<\/p>\n Apparemment, il existerait un bot qui recherche les commutateurs r\u00e9seaux Cisco vuln\u00e9rables via le moteur de recherche Shodan<\/a>, et qui exploite les vuln\u00e9rabilit\u00e9s trouv\u00e9es\u00a0; ou peut-\u00eatre qu\u2019il utilise le propre service de Cisco con\u00e7u pour chercher les commutateurs vuln\u00e9rables. Une fois qu\u2019il a trouv\u00e9 le commutateur vuln\u00e9rable, il exploite le logiciel Smart Install Client, r\u00e9\u00e9crit la configuration puis retire un autre segment d\u2019Internet. Par cons\u00e9quent, certains centres de donn\u00e9es sont indisponibles, et ensuite, certains sites populaires sont hors service.<\/p>\n Selon Cisco Talos, plus de 168 000 dispositifs sur Shodan ont cette vuln\u00e9rabilit\u00e9<\/a>. Il faut encore d\u00e9terminer l\u2019envergure de l\u2019attaque. Cependant, elle pourrait \u00eatre importante, avec un impact sur les fournisseurs d\u2019acc\u00e8s \u00e0 Internet et les centres de donn\u00e9es. Il semblerait que l\u2019attaque touche principalement les segments d\u2019Internet du march\u00e9 russe, mais il est certain que d\u2019autres segments sont plus ou moins affect\u00e9s.<\/p>\n Nous analysons actuellement l\u2019attaque, et nous vous fournirons plus de d\u00e9tails dans cet article lorsque nous les aurons<\/p>\n Pour les administrateurs syst\u00e8me\u00a0: comment g\u00e9rer cette situation<\/strong><\/p>\n Initialement, la fonction Smart Install devait \u00eatre un instrument pour les administrateurs syst\u00e8me pour faciliter leur travail. Cette fonction permet de r\u00e9aliser des configurations \u00e0 distance, et de g\u00e9rer l\u2019image d\u2019OS depuis les commutateurs Cisco. En d\u2019autres termes, vous pouvez utiliser l\u2019\u00e9quipement depuis un site \u00e0 distance et tout configurer depuis le QG, appel\u00e9 Zero Touch Deployment. Pour qu\u2019il soit possible d\u2019utiliser cette fonction, Smart Install Client doit \u00eatre activ\u00e9 et le port TCP 4786 devrait \u00eatre ouvert. Les deux options sont activ\u00e9es par d\u00e9faut.<\/p>\n Afin de v\u00e9rifier si Smart Install fonctionne, vous pouvez ex\u00e9cuter la commande \u00ab\u00a0show vstack config<\/strong>\u00a0\u00bb sur votre commutateur. Si le commutateur vous donne une r\u00e9ponse positive, cela signifie que Smart Install est activ\u00e9, et il vaut mieux le d\u00e9sactiver avec la commande no vstack<\/strong>.<\/p>\n Cependant, pour certains syst\u00e8me d\u2019exploitation de Cisco, il ne fonctionnera que jusqu\u2019\u00e0 ce que le commutateur soit reboot\u00e9 (Commutateurs Cisco Catalyst 4500 et 4500-X avec le syst\u00e8me 3.9.2E\/15.2(5)E2 ; Commutateur Cisco Catalyst 6500 avec les versions syst\u00e8me 15.1(2)SY11, 15.2(1)SY5, et 15.2(2)SY3 ; Commutateur Ethernet industriel 4000 avec les syst\u00e8mes 15.2(5)E2 and 15.2(5)E2a ; et Commutateur d\u2019acc\u00e8s Ethernet Cisco ME 3400 et ME 3400E avec l\u2019OS 12.2(60)EZ11). Dans ce cas, il est recommand\u00e9 de mettre \u00e0 jour, voire de r\u00e9trograder, la version du syst\u00e8me, ou de lancer l\u2019ex\u00e9cution automatique de la commande \u00ab\u00a0no vstack<\/strong>\u00ab\u00a0. Afin de d\u00e9tecter la version du syst\u00e8me d\u2019exploitation que vous utilisez, vous pouvez ex\u00e9cuter la commande \u00ab\u00a0show version<\/strong>\u00ab\u00a0.<\/p>\n Si les processus de votre entreprise ne vous permettent pas d\u2019\u00e9teindre Smart Install, ou si la version de votre OS de Cisco ne supporte pas la commande \u00ab\u00a0no vstack<\/strong>\u00a0\u00bb (ce qui est possible puisque cette fonction a \u00e9t\u00e9 ajout\u00e9e avec un des patchs), alors vous devrez limiter les connexions au port 4786. Cisco recommande de r\u00e9aliser cette action en utilisant Interface Access Control Lists, pour que seuls les \u00e9quipements autoris\u00e9s puissent se connecter \u00e0 vos commutateurs \u00e0 travers ce port. Dans l\u2019exemple ci-dessous l\u2019\u00e9quipement se trouve sur l\u2019adresse IP 10.10.10.1. Exemple\u00a0:<\/p>\n ip access-list extended SMI_HARDENING_LIST Si vous souhaitez en savoir plus sur cette vuln\u00e9rabilit\u00e9, vous pouvez lire ce rapport<\/a>. Vous pouvez trouver plus d\u2019informations sur Cisco Smart Install Protocol Misuse ici.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Les malfaiteurs exploitent massivement une vuln\u00e9rabilit\u00e9 des commutateurs Cisco et retirent des segments entiers d\u2019Internet.<\/p>\n","protected":false},"author":40,"featured_media":10249,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[28,2846,2848,2847,1729,322],"class_list":{"0":"post-10246","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-attaques","10":"tag-cisco","11":"tag-cisco-ios","12":"tag-commutateurs","13":"tag-shodan","14":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cisco-apocalypse\/10246\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cisco-apocalypse\/13015\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cisco-apocalypse\/10869\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cisco-apocalypse\/15127\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cisco-apocalypse\/13399\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cisco-apocalypse\/12718\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cisco-apocalypse\/15786\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cisco-apocalypse\/15357\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cisco-apocalypse\/20136\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cisco-apocalypse\/21966\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cisco-apocalypse\/9139\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cisco-apocalypse\/16392\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cisco-apocalypse\/20049\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cisco-apocalypse\/20030\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cisco-apocalypse\/20028\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=10246"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10246\/revisions"}],"predecessor-version":[{"id":12827,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10246\/revisions\/12827"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/10249"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=10246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=10246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=10246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\npermit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
\ndeny tcp any any eq 4786
\npermit ip any any<\/p>\n