Infos

Juniper reconnaît que ScreenOS a été ciblé par Equation Group

La société Juniper Networks a reconnu que certains codes d’exploitation dans le dump de ShadowBrokers visaient ses produits.

Comme l’explique Derrick Scholl, responsable de l’équipe de réaction face aux cyberincidents chez Juniper : « L’analyse des fichiers disponibles nous a permis de conclure qu’un certain groupe attaquait les périphériques NetScreen tournant sous ScreenOS. Nous évaluons toujours l’ampleur de l’attaque, mais les premiers éléments laissent penser que l’objectif était le chargeur d’amorçage du système d’exploitation et non pas l’exploitation de vulnérabilités dans les périphériques tournant sous ScreenOS ».

L’expert a précisé que ses équipes étaient toujours entrain de définir le niveau d’accès requis pour réaliser les attaques, de voir s’il était possible de la détecter et de déterminer si d’autres périphériques étaient concernés.

Des codes d’exploitation de vulnérabilités dans des produits de Cisco et Fortinet ont également été repérés dans le dump publié par le groupe secret ShadowBrokers qui avait annoncé la semaine dernière l’ouverture d’une vente aux enchères qui porterait sur les codes d’exploitation de la célèbre APT d’Equation Group derrière lequel se trouverait, d’après de nombreux experts, la NSA des Etats-Unis.

Equation Group est considéré comme le groupe APT le plus influent. De nombreux chercheurs, dont des experts de Kaspersky Lab, qui ont découvert et analysé ce réseau de cyberespionnage en 2015, soulignent le lien évident entre les codes d’exploitation utilisés par Equation Group et les outils et codes d’exploitation vendus par ShadowBrokers.

Juniper est le dernier des trois géants des télécommunications a avoir été pris pour cible par Equation Group et à reconnaître la légitimité des outils de cyberespionnage. La semaine dernière, Cisco avait indiqué qu’une des attaques exploitait une vulnérabilité 0jour dans le pare-feu ASA qui n’a toujours pas été supprimée à ce jour. Une autre faille dans l’interprète de ligne de commande de l’interface d’ASA avait été éliminée en 2011 ; elle pouvait provoquer une panne des appareils qui utilisaient l’application vulnérable et permettait d’exécuter un code à distance en cas d’accès au périphérique touché par le bogue.

La vulnérabilité 0jour dans la mise en œuvre de SNMP dans ASA permet à un individu malintentionné d’exécuter un code malveillant sur l’appareil à distance et sans authentification. Cisco a annoncé l’édition de signatures IPS pour l’ancien matériel (Legacy Cisco IPS Signature ID : 7655-0) et des règles de sécurité pour le système de détection de menaces Snort (ID : 3:39885).

« Le défaut provoque un débordement de tampon dans la partie vulnérable du code. Cette vulnérabilité peut être exploitée en envoyant des paquets SNMP répondant à une configuration spéciale à l’adresse du système S’il dispose d’un code d’exploitation, le pirate peut exécuter à distance un code arbitraire ou forcer le redémarrage du système vulnérable. Pour pouvoir exploiter la vulnérabilité, l’attaquant doit connaître la ligne de la communauté SNMP » peut-on lire dans l’avis de Cisco.

La semaine dernière, le chercheur Mustafa Al-Bassam a étudié un autre code d’exploitation d’Equation Group dans le dump BENIGNCERTAIN. Ce code d’exploitation vise les anciens pare-feu Cisco PIX qui ne sont plus pris en charge par le fabricant. D’après le spécialiste, l’attaque consiste à pouvoir détecter et voler à distance les clés de chiffrement RSA privées.

« L’analyse a démontré que l’outil est un code d’exploitation à distance des périphériques Cisco PIX ; il envoie un paquet IKE à l’appareil vulnérable, ce qui provoque une fuite de mémoire partielle. Les données compromises sont analysées et il est ainsi possible d’obtenir la clé de chiffrement RSA privée et d’autres informations secrètes sur la configuration » a expliqué Mustafa Al-Bassam.

Cisco a réagi vendredi à ces informations et a souligné que l’enquête portant sur BENIGNCERTAIN n’avait détecté aucune nouvelle vulnérabilité dans les produits actuels.

« Même si la gamme Cisco PIX n’est plus prise en charge depuis 2009, nous avons mené une enquête pour garantir la sécurité des clients qui utilisent toujours ces périphériques et nous avons découvert que la vulnérabilité est présente dans les périphériques PIX jusqu’à la version 6.x » a précisé Omar Santos dans le bulletin consacré à ShadowBrokers. « Les périphériques PIX à partir de la version 7 ne sont pas touchés par les vulnérabilités BENIGNCERTAIN. Cisco ASA est également libre de vulnérabilités.3

S’agissant de Juniper, ce n’est pas la première fois que l’entreprise est attaquée par la NSA. Les produits de Juniper ont été mentionnés à part dans le rapport d’Edward Snowden sur l’ampleur des activités de surveillance de la NSA depuis 2013. A la fin de l’année dernière, le fabricant avait annoncé que le « code tiers » avait été éliminé du code du système d’exploitation ScreenOS ; cette faille permettait à un attaquant de déchiffrer le trafic VPN qui transitait via les périphériques NetScreen.

En 2013, le journal Der Spiegel a publié un article de Jacob Appelbaum, Judit Horchert et Christian Stocker qui décrivait l’insertion du code FEEDTHROUGH de la NSA qui installait une backdoor dans les pare-feu Netscreen et les périphériques VPN tournant sous ScreenOS. Juniper avait détecté et éliminé ces deux failles en décembre de l’année dernière ; une d’entre elles installait une backdoor pour déchiffrer le trafic VPN tandis que l’autre permettait d’accéder à distance aux périphériques NetScreen via SSH ou telnet.

Fonte: Threatpost

Juniper reconnaît que ScreenOS a été ciblé par Equation Group

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception