Cisco confirme que Salt Typhoon a exploité le CVE-2018-0171 pour cibler les réseaux de télécommunications américains

Se traduisent par :

Cisco a officiellement confirmé que Salt Typhoon, un groupe de cybercriminels parrainé par l'État chinois, a réussi à infiltrer les réseaux de télécommunications américains en exploitant une vulnérabilité connue, CVE-2018-0171. Cette faille de sécurité, combinée à l'utilisation d'identifiants de connexion volés, a permis aux attaquants de maintenir un accès à long terme aux environnements compromis, l'un d'entre eux ayant duré plus de trois ans.

Selon Cisco Talos, les opérations de Salt Typhoon témoignent d'un haut niveau de sophistication, de coordination et de patience, des caractéristiques communes aux groupes de menaces persistantes avancées (APT). La campagne souligne les risques permanents posés par les acteurs étatiques qui s'infiltrent stratégiquement dans des infrastructures critiques pour établir des bases profondes et durables.

Table des matières

Une campagne de cyberespionnage à long terme et hautement coordonnée

La capacité de Salt Typhoon à rester indétectable pendant des années met en évidence les tactiques avancées du groupe. Leur persistance sur les équipements de plusieurs fournisseurs suggère une planification méticuleuse et une opération bien financée. Contrairement aux cybercriminels opportunistes qui exploitent les vulnérabilités pour un gain immédiat, les acteurs parrainés par l'État comme Salt Typhoon visent souvent un accès durable, leur permettant de recueillir des renseignements, de perturber les opérations ou de se préparer à de futures cyberattaques.

Bien que des rapports précédents aient suggéré que Salt Typhoon exploitait également des vulnérabilités plus récentes, telles que CVE-2023-20198 et CVE-2023-20273, Cisco n'a trouvé aucune preuve à l'appui de ces affirmations. Au lieu de cela, la principale méthode d'exploitation reste CVE-2018-0171, une faille dans le protocole Smart Install (SMI) de Cisco, combinée à un vol d'identifiants.

Identifiants volés : la clé de l'accès initial

Un aspect essentiel de cette campagne est l'utilisation d'identifiants valides et volés pour accéder aux périphériques réseau. Bien que la méthode exacte utilisée par Salt Typhoon pour obtenir ces identifiants ne soit pas encore claire, des éléments suggèrent qu'ils ont activement recherché des informations de connexion stockées dans les systèmes compromis. Ils ont également surveillé le trafic réseau pour capturer des données d'authentification, ciblant spécifiquement les protocoles SNMP, TACACS et RADIUS pour extraire des clés secrètes et d'autres informations d'identification de connexion.

Une fois à l'intérieur d'un réseau, Salt Typhoon a utilisé diverses techniques pour étendre sa portée et garantir un accès prolongé. Il s'agissait notamment de modifier les configurations des périphériques réseau, de créer des comptes locaux non autorisés, d'activer l'accès Guest Shell et de configurer un accès SSH persistant.

Techniques de vie de la terre et pivotement du réseau

Salt Typhoon a utilisé des techniques de survie sur le terrain (LOTL), qui consistent à abuser des outils et infrastructures système légitimes pour éviter d'être détecté. En utilisant des périphériques réseau compromis comme points pivots, ils ont pu passer d'un réseau de télécommunications à un autre tout en restant cachés. Ces périphériques compromis ont probablement servi de relais intermédiaires, aidant les attaquants soit à se déplacer latéralement vers leurs cibles ultimes, soit à établir des voies d'exfiltration de données sortantes.

Pour échapper encore plus à la détection, Salt Typhoon a manipulé les configurations réseau en modifiant les adresses d'interface de bouclage sur les commutateurs compromis. Cela leur a permis d'établir des connexions SSH qui contournaient les listes de contrôle d'accès (ACL), permettant ainsi une liberté de mouvement illimitée dans l'environnement cible.

JumbledPath : un outil personnalisé pour les opérations furtives

L'une des découvertes les plus inquiétantes est l'utilisation par Salt Typhoon d'un outil personnalisé appelé JumbledPath, spécialement conçu pour l'infiltration furtive du réseau. Ce binaire ELF basé sur Go permet aux attaquants d'exécuter des captures de paquets sur des périphériques Cisco distants via un hôte de saut contrôlé par un acteur. L'outil peut également effacer les journaux système et désactiver complètement la journalisation, ce qui rend l'analyse forensique beaucoup plus difficile.

Les efforts d'effacement périodique des journaux réduisent encore davantage la visibilité de leurs activités. Salt Typhoon a été observé en train de supprimer des journaux critiques, notamment .bash_history, auth.log, lastlog, wtmp et btmp, pour couvrir leurs traces et garantir que leurs opérations restent indétectables pendant des périodes prolongées.

Exploitation continue des appareils Cisco

Outre les activités de Salt Typhoon, Cisco a également détecté un ciblage généralisé de ses appareils avec des fonctionnalités Smart Install (SMI) exposées, ce qui a conduit à l'exploitation continue de la vulnérabilité CVE-2018-0171. Cependant, Cisco a précisé que cette activité n'est pas liée à Salt Typhoon et ne semble pas être associée à un groupe de menaces connu.

Comment les organisations peuvent se défendre contre ces attaques

Compte tenu de la nature persistante des opérations de Salt Typhoon, les organisations, en particulier celles du secteur des télécommunications, doivent prendre des mesures proactives pour sécuriser leurs réseaux. Les mesures défensives recommandées comprennent :

Désactivation de l'installation intelligente (SMI) : si elle n'est pas nécessaire, SMI doit être désactivé pour atténuer le risque d'exploitation.
Application de l’authentification multifacteur (MFA) : les informations d’identification volées sont moins efficaces si l’authentification multifacteur est requise.

Mise à jour régulière du micrologiciel et correction des vulnérabilités : CVE-2018-0171 est connu depuis des années, mais les attaquants continuent de l'exploiter en raison de systèmes non corrigés.

Surveillance du trafic réseau pour détecter les anomalies : les organisations doivent surveiller de près les demandes d’authentification, les activités SSH inhabituelles et les modifications de configuration inattendues.

Mise en œuvre de politiques de contrôle d’accès strictes : restreindre l’accès aux infrastructures critiques peut limiter la capacité d’un attaquant à se déplacer latéralement au sein du réseau.

L'infiltration réussie de Salt Typhoon dans les réseaux de télécommunications américains souligne l'importance de la vigilance en matière de cybersécurité. Sa capacité à exploiter une vulnérabilité vieille de plusieurs années, à voler des identifiants et à persister sans être détecté pendant de longues périodes démontre l'évolution du paysage des menaces. Les organisations doivent privilégier les stratégies de défense proactives, notamment une gestion rigoureuse des correctifs, une surveillance du réseau et des contrôles d'accès stricts, pour atténuer les risques posés par les cybermenaces parrainées par les États.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région