Comment les cyberespions ont réussi à attaquer les pare-feu Cisco avec des exploits zero-day ?
Les dernières actualités en matière de cybersécurité mettent en lumière une attaque sophistiquée visant les pare-feu de Cisco. Des cyberespions, qui jusqu’à présent sont restés non identifiés, ont exploité des vulnérabilités zero-day dans les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) de Cisco depuis novembre 2023, leur permettant ainsi d’accéder aux réseaux gouvernementaux à travers le monde.
Sommaire
Les détails de l’attaque
Cisco n’a pas encore identifié le vecteur d’attaque initial. Dans un avis de menace, l’entreprise a averti que les cyberacteurs s’étaient concentrés sur le piratage de dispositifs réseau de Microsoft et d’autres fournisseurs. Selon Wired, la Chine est soupçonnée d’être à l’origine de ces exploits.
Cisco a découvert et corrigé deux failles de sécurité utilisées par les acteurs de la menace en tant que zero-days :
- CVE-2024-20353 (déni de service)
- CVE-2024-20359 (exécution de code locale persistante)
À ce jour, il n’existe pas de solution de contournement pour remédier à ces vulnérabilités. Cisco recommande vivement à tous ses clients de mettre à jour leurs pare-feu avec les versions corrigées.
La campagne « ArcaneDoor »
Cisco a pris connaissance d’ArcaneDoor en janvier 2024 et a supposé que les attaquants avaient planifié de cibler les deux zero-days depuis au moins six mois avant. Les dispositifs de bordure sont devenus une cible pour les hackers avancés car ils se trouvent à la périphérie du réseau et peuvent être difficiles à surveiller. Selon un avis conjoint des agences de cybersécurité australienne, britannique et canadienne, ces attaques s’inscrivent dans une tendance plus large d’espionnage mené par des États, qui ciblent les dispositifs de bordure. « ArcaneDoor est une campagne qui représente le dernier exemple d’acteurs soutenus par des États ciblant des dispositifs de réseau de bordure de plusieurs fournisseurs », a écrit Cisco dans son billet de blog. Elle qualifie les dispositifs de réseau de bordure de « point d’intrusion parfait » pour les campagnes d’espionnage.
Cisco a pris connaissance d’ArcaneDoor en janvier 2024 et a supposé que les attaquants avaient planifié de cibler les deux zero-days depuis au moins six mois avant. Les dispositifs de bordure sont devenus une cible pour les hackers avancés car ils se trouvent à la périphérie du réseau et peuvent être difficiles à surveiller. Selon un avis conjoint des agences de cybersécurité australienne, britannique et canadienne, ces attaques s’inscrivent dans une tendance plus large d’espionnage mené par des États, qui ciblent les dispositifs de bordure.
« ArcaneDoor est une campagne qui représente le dernier exemple d’acteurs soutenus par des États ciblant des dispositifs de réseau de bordure de plusieurs fournisseurs », a écrit Cisco dans son billet de blog. Elle qualifie les dispositifs de réseau de bordure de « point d’intrusion parfait » pour les campagnes d’espionnage.
Les actions des cyberespions
Les cyberespions utilisent deux portes dérobées, « Line Runner » et « Line Dancer », qui permettent de mener des actions malveillantes, notamment la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et potentiellement le déplacement latéral.
Cisco attribue la détection de cette attaque à un « client vigilant » qui a signalé les problèmes de sécurité à son équipe de réponse aux incidents de sécurité des produits (PSIRT) et à son département de sécurité Talos. Une enquête de plusieurs mois a été menée, avec la participation de plusieurs partenaires extérieurs.
Les cyberespions ont utilisé des outils personnalisés qui « démontrent une nette focalisation sur l’espionnage et une connaissance approfondie des dispositifs ciblés, caractéristiques d’un acteur sophistiqué soutenu par un État », a écrit Cisco.
L’avis de la Cybersecurity and Infrastructure Security Agency (CISA)
Dans un avis, la Cybersecurity and Infrastructure Security Agency (CISA) a déclaré qu’elle n’avait pas confirmé d’éléments probants sur l’activité touchant les réseaux gouvernementaux américains pour le moment.
CISA a ajouté les deux vulnérabilités exploitées, CVE-2024-20353 (déni de service) et CVE-2024-20359, à son catalogue des vulnérabilités connues exploitées. L’agence « encourage vivement » les utilisateurs et administrateurs à appliquer les correctifs, à « rechercher toute activité malveillante et à signaler les résultats positifs ».
CISA a demandé à toutes les agences civiles fédérales d’appliquer les correctifs d’ici le 1er mai 2024, ce qui témoigne de sa conviction quant à l’urgence de remédier à ces vulnérabilités.
Cette attaque contre les pare-feu Cisco met en évidence l’importance de la cybersécurité et des mises à jour régulières des logiciels pour protéger les réseaux des organisations. Les acteurs étatiques exploitent de plus en plus les vulnérabilités zero-day pour mener des activités d’espionnage. Il est donc essentiel pour les entreprises de mettre en place une sécurité efficace et de rester vigilantes face à ces menaces.
-
BeKa A-Lan - Tome 3 - Zero Day ExploitBinding : Taschenbuch, Label : DUPUIS, Publisher : DUPUIS, Format : Illustriert, medium : Taschenbuch, numberOfPages : 56, publicationDate : 2024-08-19, authors : BeKa
-
Cisco Systems CISCO867VAE-K9 Reconditionné un routeur polyvalent et performantPerformance Fiable : Processeur puissant pour une connectivité fluide. Sécurité Avancée : Pare-feu, VPN et détection des intrusions. Connectivité Polyvalente : Ports Ethernet, WAN et VoIP. Fonctions de Routage Avancées : OSPF et BGP pour les réseaux complexes. Gestion à Distance : Surveillance et administration à distance. Évolutivité : Prise en charge de modules d'extension. Interface Conviviale : Configuration simplifiée.
-
Finca Moncloa Tintilla de Rota Edición Limitada 2019Cadix n'a pas vécu que du palomino et du pedro ximénez. Il fut un temps, juste avant la crise du phylloxéra (en 1878), où la diversité des raisins abondait dans ce coin du sud de l'Espagne. Beaucoup d'entre eux, comme la beba ou le perruno, n'ont pas réussi à résister à l'attaque de cet insecte qui creuse des tunnels dans le sol, attaque la racine et continue avec le reste de la plante. D'autres variétés, la plupart du temps plantées sur des sols sablonneux, ont réussi à résister. Il semble que le phylloxéra n'ait pas pu atteindre le cœur de la plante dans ces sols mous et mouvants, où il était impossible de se frayer un chemin. Ce détail a été le salut de nombreux cépages, comme la tintilla de rota, une variété rouge, plantée près de la plage (entre Rota, Chiclana et Chipiona), et qui était généralement utilisée pour élaborer des vins rouges doux. Après un siècle, la tintilla de rota est devenue un joyau et un patrimoine de Cadix dont les vignerons prennent soin depuis des années. Petits et grands se sont engagés à préserver (et à récupérer) ce raisin. L'un d'entre eux est González-Byass avec son vin rouge Finca Moncloa Tintilla de Rota Edición Limitada. Dans le cas de cette grande entreprise, l'une des plus emblématiques et des plus importantes de la région de Jerez, la recherche et le dévouement à cette variété ont duré près de cinquante ans. Plus précisément, c'est en 1972 que cette cave a commencé à travailler avec différents cépages rouges de la région (on sait que la région de Jerez est plus connue pour ses blancs). Cependant, malgré ce que l'on pourrait croire, la tintilla de rota n'était pas une nouveauté pour cette entreprise, puisqu'un vin très similaire à la Finca Moncloa Tintilla de Rota Edición Limitada avait déjà été produit en 1841. Avec Finca Moncloa Tintilla de Rota Limited Edition, la tintilla de Rota renaît plus forte que jamais. Pour cette nouvelle étape, rien n'a été épargné : vendanges manuelles (en caisses de 15 kg), double sélection des grappes (dans le vignoble et dans la cave), égrappage et foulage en douceur. La Finca Moncloa Tintilla de Rota Edición Limitada sera encuvée dans des cuves en acier inoxydable où elle macérera et fermentera doucement (à température contrôlée) pendant 12 à 15 jours. Après la fermentation alcoolique, c'est le moment de la fermentation malolactique et du vieillissement en fûts de chêne français et américain pendant environ un an. L'assemblage et la mise en bouteille sont les dernières étapes. Finca Moncloa Tintilla de Rota Edición Limitada est commercialisé, inaugurant une nouvelle ère pour Tintilla de Rota. Comme le phénix lui-même, cette variété renaît de ses cendres, plus forte que jamais, dans une édition très limitée à ne pas manquer.
Commentaires
Laisser un commentaire