De quoi s’agit-il ?

Un pirate informatique du nom de The Shadow Brokers a annoncé le 13 août avoir récupéré les outils du groupe Equation (groupe de Hackers de la NSA chargé des missions d’infiltrations et d’attaques informatiques).

Ce pirate souhaitant vendre ces outils, a mis aux enchères des fichiers permettant d’accéder aux routeurs et pare-feux des constructeurs américains et chinois. (Cisco/Juniper/Fortinet/Watchguard/Topsec).

A l’heure actuelle, cette annonce semble plausible dans le sens ou tout ce qui est cité semble légitime par rapport aux annonces d’Edward Snowden.

Maintenant, ces failles sont vieilles de 3 ans…

Voici un point sur les différents éditeurs cités et concernés par ces failles.

Côté Fortinet :

Toutes les versions de FortiOS (logiciel équipant les pare-feux Fortigate) en dessous de la version 4.3.8 incluse sont vulnérables à une prise de contrôle externe. Cette version date de 2012 et ne doit normalement plus équiper de Fortigate en service actuellement. Les versions préconisées sont les versions 5.x, ou 4.3.9 minimum pour les Fortigate ne supportant pas la version 5.x.

Les versions de Fortiswitch antérieures à la version 3.4.2 sont vulnérables, il faut mettre à jour en version 3.4.3.

Source : https://fortiguard.com/advisory/cookie-parser-buffer-overflow-vulnerability

Côté Cisco :

Toutes les versions de pare-feux de la gamme Cisco Pix et Cisco ASA sont vulnérables à une prise de contrôle à distance. Il n’y a pas de correctif  disponible actuellement chez Cisco.

Les seules protections possibles préconisées par Cisco sont de désactiver le SNMP et les accès distants pour le management.
Une signature d’attaque est disponible pour les sondes de sécurité Cisco pour protéger les pare-feux.

Source : http://blogs.cisco.com/security/shadow-brokers (+liens secondaires)

Depuis le 25 août, un groupe de hackers (silent signal) a publié un article indiquant comment étendre les failles à toutes les versions disponibles des pare-feu ASA.

Il faut donc s’attendre à une recrudescence d’attaques sur ces plateformes.

Source : https://blog.silentsignal.eu/2016/08/25/bake-your-own-extrabacon/

Côté Juniper :

Juniper a reconnu que la faille était connue et que le code incriminé a été retiré des dernières versions de ScreenOS, il faut donc effectuer une mise à jour de logiciels sur les pare-feux SSG.

Côté WatchGuard :

Seules les appliances Rapidstream, assez anciennes, sont concernées. Il n’y a pas de mise à jour actuellement.

Côté Topsec :

Ces produits ne sont pas disponibles en Europe.

Pour aller plus loin :

TS_HELAND_Marc_eLa sécurité de votre système d’information est importante, parlons-en…
Notre équipe est à votre disposition pour échanger et trouver les meilleures solutions.

Article rédigé par Marc Héland, Consultant sécurité

Nos précédentes alertes sécurité :