[INFO] [CISCO] SYNful Knock : La nouvelle attaque visant les équipements Cisco

[INFO] [CISCO] SYNful Knock : La nouvelle attaque visant les équipements Cisco

Une attaque sur les équipements Cisco a été découverte la semaine dernière. Le CERT-XMCO vous fait part cette semaine du bulletin correspondant à cet évènement.

Bulletin CXA-2015-3052
Titre SYNful Knock : La nouvelle attaque visant les équipements Cisco
Titre officiel SYNful Knock: Detecting and Mitigating Cisco IOS Software Attacks
Criticité Criticite Moyenne
Date 16 Septembre 2015
Description L’équipe de réponse à incident de Cisco, la Cisco Product Security Incident Response Team (PSIRT) a publié un bulletin spécial à destination des utilisateurs de leurs produits.

Au travers de ce bulletin, Cisco a donné quelques détails à propos d’une nouvelle tendance chez les pirates du monde entier. Les sociétés Mandiant et FireEye ont elles aussi publié un article complet à propos de ces attaques.

Habituellement, les pirates disposent d’un accès restreint au réseau interne d’une entreprise, la seule attaque réellement faisable est alors le DoS ou DDoS (Déni de service). Ce genre d’attaque sur équipement réseau ouvert sur Internet peut aller jusqu’au blocage complet d’une entreprise en cas de défaut de segmentation réseau.

Ce nouveau type d’attaque appelé « SYNful Knock » consiste à remplacer de manière silencieuse la ROM d’un système Cisco IOS par une ROM similaire préchargée avec un malware permettant d’espionner le réseau d’un routeur infecté, de rediriger des paquets et de modifier les paquets reçus et envoyés. Déjà 14 cas concrets ont eu lieu dans plusieurs pays différents.

L’implémentation de la ROM malveillante nécessite les droits d’administrateur sur un équipement réseau ou un accès physique à ce dernier. Cisco et le Cert-XMCO recommandent la mise en place d’outils sur le réseau d’entreprise permettant de détecter ce type de modification. L’éditeur Snort a publié une règle disponible via le lien suivant à cet effet : https://snort.org/advisories/talos-rules-2015-09-15

De plus, il existe des outils de détection de modification de configuration de divers équipements réseau tels que Rancid.

Référence http://tools.cisco.com/security/center/viewAlert.x?alertId=40411
http://blogs.cisco.com/security/synful-knock
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
https://www.fireeye.com/blog/executive-perspective/2015/09/the_new_route_toper.html
Id XMCO CXA-2015-3052
Lien extranet XMCO https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2015-3052

Cert-XMCO