Les chercheurs de Cisco Talos ont découvert que des cybercriminels russes mènent actuellement des cyberattaques à l’encontre des appareils CISCO. L’offensive repose sur une faille de sécurité qui remonte à 2018. Elle a été corrigée à l’époque, mais tous les appareils n’ont pas été mis à jour avec le correctif. De facto, ils sont toujours vulnérables.
À lire aussi : Les pirates russes de Midnight Blizzard multiplient les cyberattaques en Europe
Plantage et exécution de code malveillant
Exploitée par des individus malveillants, la vulnérabilité permet à un attaquant non authentifié de faire planter l’appareil et d’exécuter du code en contournant les mécanismes de sécurité. De fil en aiguille, l’attaquant peut prendre le contrôle total de l’appareil. La vulnérabilité découle d’une erreur de programmation dans Smart Install, un service qui permet de configurer automatiquement des routeurs au moment de l’installation.
Sans surprise, Cisco exhorte tous les détenteurs d’installer sans plus attendre une mise à jour. Sur son site, l’entreprise demande à tous ses clients d’installer « les mises à jour logicielles qui corrigent cette vulnérabilité » pour mettre fin à « l’exploitation continue » de la brèche. La société ajoute que la vulnérabilité a été activement exploitée par des pirates dès 2021.
À lire aussi : Les États-Unis accusent deux hacktivistes russes de cyberattaques contre ses « infrastructures critiques »
L’alerte du FBI au sujet de Berserk Bear
Le FBI a également tiré la sonnette d’alarme. Les agents fédéraux indiquent que les cyberattaques ont été perpétrées par un gang de pirates financés par les services de renseignement de la Russie. Il s’agirait du groupuscule Berserk Bear, aussi connu sous les noms de Blue Kraken, Crouching Yeti, Dragonfly et Koala Team. Actif depuis au moins le début des années 2010, le gang est connu pour s’en prendre aux infrastructures critiques, surtout américaines et européennes, en s’appuyant sur des appareils obsolètes.
Le FBI explique avoir « constaté que des pirates collectaient les fichiers de configuration de milliers d’équipements réseau liés à des entités américaines opérant dans des secteurs d’infrastructures critiques » dans le courant de l’année dernière. Avec ces fichiers, ils ont pu « mener des opérations de reconnaissance au sein de réseaux ciblés, ce qui a mis en évidence leur intérêt pour les protocoles et applications généralement utilisés dans les systèmes de contrôle industriel ». En exploitant la vulnérabilité identifiée dans les routeurs de Cisco, les hackers russes se sont attaqués à des organisations situées dans le monde entier, dans l’espoir de voler des données confidentielles au sein d’industries clés.
Aux dires des chercheurs de Cisco Talos, d’autres groupes criminels risquent de vouloir exploiter la vulnérabilité. Selon eux, « la menace ne se limite pas aux opérations menées par la Russie : d’autres groupes soutenus par des États mènent probablement des campagnes similaires visant à compromettre des équipements réseau ». C’est pourquoi il est essentiel de mettre à jour tous les routeurs encore vulnérables.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : FBI
