Décidément, Cisco a de quoi être inquiété par les récentes fuites d’outils de la NSA, orchestrée par le mystérieux groupe de hackers « Shadow Brokers ». Il y a quelques jours, le géant des réseaux informatiques avait déjà identifié deux attaques qui ciblaient ses pare-feu, dont une basée sur une faille zero-day. Le chercheur en sécurité Mustafa Al-Bassam vient maintenant de détecter une troisième attaque, tout aussi méchante. Elle réside dans l’outil appelé BENIGNCERTAIN et permet de d’exfiltrer à distance les clés secrètes de réseaux privés virtuels (VPN) basés sur le pare-feu Cisco PIX.
La faille rêvée
Un tel outil est évidemment un moyen d’espionnage idéal, car les VPN d’entreprises servent justement à protéger les données confidentielles et sont utilisés au quotidien par un grand nombre de professionnels. En récupérant la clé secrète d’un tel réseau privé, la NSA est en capacité de lire tous leurs échanges. « [L’outil] envoie un paquet Internet Key Exchange [un protocole pour réseaux VPN, ndlr] vers la machine de la victime, générant une fuite de mémoire. Il suffit ensuite d’analyser cette fuite de données pour extraire une clé secrète RSA et autres informations de configuration sensible », explique le chercheur en sécurité dans une note de blog. Ce type de faille est similaire à Heartbleed, qui avait secoué le web en 2014.
An IKE packet walks into a Cisco bar and asks for a large beer. The bartender doesn't have enough beer, so puts their wallet in the drink.
— Mustafa Al-Bassam (@musalbas) August 19, 2016
Depuis, un autre chercheur en sécurité – Brian Watters – a pu confirmer l’analyse de M. Al-Bassam. Il a réussi à exécuter l’attaque avec succès sur son propre VPN Cisco PIX.
https://twitter.com/int10h/status/766512280586620928
La version Cisco PIX testée était 6.3(5), ce qui fait dire à M. Al-Bassam que « la NSA a été capable de déchiffrer n’importe quel trafic VPN Cisco de 2002 à 2008 ». Ce qui est plutôt très inquiétant. Et le risque est toujours présent. Selon Motherboard, la ligne de produits Cisco n’est plus en vente depuis 2009, mais elle est encore déployée en entreprises. Le chercheur en sécurité Kevin Beaumont affirme, par exemple, connaître un sous-traitant informatique du gouvernement britannique qui réalise ses opérations de support au travers d’un réseau Cisco PIX.
https://twitter.com/GossiTheDog/status/766362428850536448
On n’ose pas imaginer le nombre de secrets qui ont pu ainsi tomber dans les mains de la NSA…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.