Juniper reconnaît que ScreenOS a été ciblé par Equation Group

La société Juniper Networks a reconnu que certains codes d’exploitation dans le dump de ShadowBrokers visaient ses produits.

Comme l’explique Derrick Scholl, responsable de l’équipe de réaction face aux cyberincidents chez Juniper : « L’analyse des fichiers disponibles nous a permis de conclure qu’un certain groupe attaquait les périphériques NetScreen tournant sous ScreenOS. Nous évaluons toujours l’ampleur de l’attaque, mais les premiers éléments laissent penser que l’objectif était le chargeur d’amorçage du système d’exploitation et non pas l’exploitation de vulnérabilités dans les périphériques tournant sous ScreenOS ».

L’expert a précisé que ses équipes étaient toujours entrain de définir le niveau d’accès requis pour réaliser les attaques, de voir s’il était possible de la détecter et de déterminer si d’autres périphériques étaient concernés.

Des codes d’exploitation de vulnérabilités dans des produits de Cisco et Fortinet ont également été repérés dans le dump publié par le groupe secret ShadowBrokers qui avait annoncé la semaine dernière l’ouverture d’une vente aux enchères qui porterait sur les codes d’exploitation de la célèbre APT d’Equation Group derrière lequel se trouverait, d’après de nombreux experts, la NSA des Etats-Unis.

Equation Group est considéré comme le groupe APT le plus influent. De nombreux chercheurs, dont des experts de Kaspersky Lab, qui ont découvert et analysé ce réseau de cyberespionnage en 2015, soulignent le lien évident entre les codes d’exploitation utilisés par Equation Group et les outils et codes d’exploitation vendus par ShadowBrokers.

Juniper est le dernier des trois géants des télécommunications a avoir été pris pour cible par Equation Group et à reconnaître la légitimité des outils de cyberespionnage. La semaine dernière, Cisco avait indiqué qu’une des attaques exploitait une vulnérabilité 0jour dans le pare-feu ASA qui n’a toujours pas été supprimée à ce jour. Une autre faille dans l’interprète de ligne de commande de l’interface d’ASA avait été éliminée en 2011 ; elle pouvait provoquer une panne des appareils qui utilisaient l’application vulnérable et permettait d’exécuter un code à distance en cas d’accès au périphérique touché par le bogue.

La vulnérabilité 0jour dans la mise en œuvre de SNMP dans ASA permet à un individu malintentionné d’exécuter un code malveillant sur l’appareil à distance et sans authentification. Cisco a annoncé l’édition de signatures IPS pour l’ancien matériel (Legacy Cisco IPS Signature ID : 7655-0) et des règles de sécurité pour le système de détection de menaces Snort (ID : 3:39885).

« Le défaut provoque un débordement de tampon dans la partie vulnérable du code. Cette vulnérabilité peut être exploitée en envoyant des paquets SNMP répondant à une configuration spéciale à l’adresse du système S’il dispose d’un code d’exploitation, le pirate peut exécuter à distance un code arbitraire ou forcer le redémarrage du système vulnérable. Pour pouvoir exploiter la vulnérabilité, l’attaquant doit connaître la ligne de la communauté SNMP » peut-on lire dans l’avis de Cisco.

La semaine dernière, le chercheur Mustafa Al-Bassam a étudié un autre code d’exploitation d’Equation Group dans le dump BENIGNCERTAIN. Ce code d’exploitation vise les anciens pare-feu Cisco PIX qui ne sont plus pris en charge par le fabricant. D’après le spécialiste, l’attaque consiste à pouvoir détecter et voler à distance les clés de chiffrement RSA privées.

« L’analyse a démontré que l’outil est un code d’exploitation à distance des périphériques Cisco PIX ; il envoie un paquet IKE à l’appareil vulnérable, ce qui provoque une fuite de mémoire partielle. Les données compromises sont analysées et il est ainsi possible d’obtenir la clé de chiffrement RSA privée et d’autres informations secrètes sur la configuration » a expliqué Mustafa Al-Bassam.

Cisco a réagi vendredi à ces informations et a souligné que l’enquête portant sur BENIGNCERTAIN n’avait détecté aucune nouvelle vulnérabilité dans les produits actuels.

« Même si la gamme Cisco PIX n’est plus prise en charge depuis 2009, nous avons mené une enquête pour garantir la sécurité des clients qui utilisent toujours ces périphériques et nous avons découvert que la vulnérabilité est présente dans les périphériques PIX jusqu’à la version 6.x » a précisé Omar Santos dans le bulletin consacré à ShadowBrokers. « Les périphériques PIX à partir de la version 7 ne sont pas touchés par les vulnérabilités BENIGNCERTAIN. Cisco ASA est également libre de vulnérabilités.3

S’agissant de Juniper, ce n’est pas la première fois que l’entreprise est attaquée par la NSA. Les produits de Juniper ont été mentionnés à part dans le rapport d’Edward Snowden sur l’ampleur des activités de surveillance de la NSA depuis 2013. A la fin de l’année dernière, le fabricant avait annoncé que le « code tiers » avait été éliminé du code du système d’exploitation ScreenOS ; cette faille permettait à un attaquant de déchiffrer le trafic VPN qui transitait via les périphériques NetScreen.

En 2013, le journal Der Spiegel a publié un article de Jacob Appelbaum, Judit Horchert et Christian Stocker qui décrivait l’insertion du code FEEDTHROUGH de la NSA qui installait une backdoor dans les pare-feu Netscreen et les périphériques VPN tournant sous ScreenOS. Juniper avait détecté et éliminé ces deux failles en décembre de l’année dernière ; une d’entre elles installait une backdoor pour déchiffrer le trafic VPN tandis que l’autre permettait d’accéder à distance aux périphériques NetScreen via SSH ou telnet.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *