Rendue publique la semaine dernière par Cisco, la vulnérabilité affecte les systèmes d’exploitation IOS, IOS XE et IOS XR utilisés pour faire fonctionner plusieurs équipements réseaux du constructeur. Elle permet à des pirates d'extraire à distance le contenu de la mémoire de ces appareils et de récupérer des informations potentiellement sensibles. La faille est liée à la manière dont le système d'exploitation traite les requêtes IKEv1 (Internet Key Exchange version1). Ce protocole d'échange de clés est utilisé pour les VPN (réseaux privés virtuels) et d'autres fonctions courantes dans les environnements d'entreprise.

Cisco a découvert la faille en interne après l'analyse d'un programme d’attaque (exploit) ciblant les pare-feu Cisco PIX et divulgué le mois dernier par un groupe de hackers dénommé les Shadow Brokers. L'exploit était inclus dans un ensemble d'outils d'attaque qui, selon les Shadow Brokers, a été utilisé par un groupe de cyberespions connu dans le secteur de la cybersécurité sous le nom d’Equation. Or, selon certains, Equation serait lié à la NSA. Parce que d’autres hackers pourraient identifier la faille en analysant l'exploit livré par les Shadow Brokers, Cisco a décidé d'en informer ses clients par un avis de sécurité, même si l'entreprise travaille toujours sur la mise au point de correctifs. La plupart des versions affectées d’IOS, IOS XE et IOS XR n’ont pas encore été corrigées, mais Cisco a fourni des signatures de détection que les systèmes de prévention des intrusions peuvent utiliser pour protéger les réseaux contre des attaques potentielles.

27 401 équipements vulnérables en France selon Shadowserver

Le dernier scan de la Fondation Shadowserver s'accompagne d'une carte affichant les régions les plus touchées.

La Fondation Shadowserver, une association qui surveille les actes de cybercriminalité et participe à la traque et à la fermeture des réseaux zombie, a entrepris une vaste analyse de l’Internet pour identifier les périphériques Cisco affectés par la vulnérabilité et les signaler à leurs propriétaires. Dans son dernier scan en date, effectué entre 1 h et h (GMT) ce 22 septembre, la fondation a repéré 840 681 équipements vulnérables ayant des adresses IP distinctes. Les États-Unis comptent le plus grand nombre d'appareils vulnérables (259 249), suivis par la Russie (44 056) et le Royaume-Uni (43 005). La France figurait en 7ème position avec 27 401 équipements affectés. Le Canada, l’Allemagne, le Japon, le Mexique, l’Australie et la Chine complètent cette liste des dix premiers.