Comment les cyberespions ont réussi à attaquer les pare-feu Cisco avec des exploits zero-day ?

Les dernières actualités en matière de cybersécurité mettent en lumière une attaque sophistiquée visant les pare-feu de Cisco. Des cyberespions, qui jusqu’à présent sont restés non identifiés, ont exploité des vulnérabilités zero-day dans les pare-feu Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) de Cisco depuis novembre 2023, leur permettant ainsi d’accéder aux réseaux gouvernementaux à travers le monde.

Les détails de l’attaque

Cisco n’a pas encore identifié le vecteur d’attaque initial. Dans un avis de menace, l’entreprise a averti que les cyberacteurs s’étaient concentrés sur le piratage de dispositifs réseau de Microsoft et d’autres fournisseurs. Selon Wired, la Chine est soupçonnée d’être à l’origine de ces exploits.

Cisco a découvert et corrigé deux failles de sécurité utilisées par les acteurs de la menace en tant que zero-days :

• CVE-2024-20353 (déni de service)
• CVE-2024-20359 (exécution de code locale persistante)

À ce jour, il n’existe pas de solution de contournement pour remédier à ces vulnérabilités. Cisco recommande vivement à tous ses clients de mettre à jour leurs pare-feu avec les versions corrigées.

La campagne « ArcaneDoor »

Cisco a pris connaissance d’ArcaneDoor en janvier 2024 et a supposé que les attaquants avaient planifié de cibler les deux zero-days depuis au moins six mois avant. Les dispositifs de bordure sont devenus une cible pour les hackers avancés car ils se trouvent à la périphérie du réseau et peuvent être difficiles à surveiller. Selon un avis conjoint des agences de cybersécurité australienne, britannique et canadienne, ces attaques s’inscrivent dans une tendance plus large d’espionnage mené par des États, qui ciblent les dispositifs de bordure.

« ArcaneDoor est une campagne qui représente le dernier exemple d’acteurs soutenus par des États ciblant des dispositifs de réseau de bordure de plusieurs fournisseurs », a écrit Cisco dans son billet de blog. Elle qualifie les dispositifs de réseau de bordure de « point d’intrusion parfait » pour les campagnes d’espionnage.

Cisco a pris connaissance d’ArcaneDoor en janvier 2024 et a supposé que les attaquants avaient planifié de cibler les deux zero-days depuis au moins six mois avant. Les dispositifs de bordure sont devenus une cible pour les hackers avancés car ils se trouvent à la périphérie du réseau et peuvent être difficiles à surveiller. Selon un avis conjoint des agences de cybersécurité australienne, britannique et canadienne, ces attaques s’inscrivent dans une tendance plus large d’espionnage mené par des États, qui ciblent les dispositifs de bordure.

« ArcaneDoor est une campagne qui représente le dernier exemple d’acteurs soutenus par des États ciblant des dispositifs de réseau de bordure de plusieurs fournisseurs », a écrit Cisco dans son billet de blog. Elle qualifie les dispositifs de réseau de bordure de « point d’intrusion parfait » pour les campagnes d’espionnage.

Les actions des cyberespions

Les cyberespions utilisent deux portes dérobées, « Line Runner » et « Line Dancer », qui permettent de mener des actions malveillantes, notamment la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et potentiellement le déplacement latéral.

Cisco attribue la détection de cette attaque à un « client vigilant » qui a signalé les problèmes de sécurité à son équipe de réponse aux incidents de sécurité des produits (PSIRT) et à son département de sécurité Talos. Une enquête de plusieurs mois a été menée, avec la participation de plusieurs partenaires extérieurs.

Les cyberespions ont utilisé des outils personnalisés qui « démontrent une nette focalisation sur l’espionnage et une connaissance approfondie des dispositifs ciblés, caractéristiques d’un acteur sophistiqué soutenu par un État », a écrit Cisco.

L’avis de la Cybersecurity and Infrastructure Security Agency (CISA)

Dans un avis, la Cybersecurity and Infrastructure Security Agency (CISA) a déclaré qu’elle n’avait pas confirmé d’éléments probants sur l’activité touchant les réseaux gouvernementaux américains pour le moment.

CISA a ajouté les deux vulnérabilités exploitées, CVE-2024-20353 (déni de service) et CVE-2024-20359, à son catalogue des vulnérabilités connues exploitées. L’agence « encourage vivement » les utilisateurs et administrateurs à appliquer les correctifs, à « rechercher toute activité malveillante et à signaler les résultats positifs ».

CISA a demandé à toutes les agences civiles fédérales d’appliquer les correctifs d’ici le 1er mai 2024, ce qui témoigne de sa conviction quant à l’urgence de remédier à ces vulnérabilités.

Cette attaque contre les pare-feu Cisco met en évidence l’importance de la cybersécurité et des mises à jour régulières des logiciels pour protéger les réseaux des organisations. Les acteurs étatiques exploitent de plus en plus les vulnérabilités zero-day pour mener des activités d’espionnage. Il est donc essentiel pour les entreprises de mettre en place une sécurité efficace et de rester vigilantes face à ces menaces.