Les documents de la récente fuite ayant touché le groupe de pirates Equation Group ont pu être rapproché à ceux des révélations d’Edward Snowden. Une faille dans les pare-feu Cisco permettait à la NSA de s’emparer des clés VPN et de déchiffrer jusqu’à un millier de connexion VPN à l’heure.
L’immense archive volée à Equation Group et publiée par les Shadow Brokers contenait des outils d’exploitation de failles 0-Day chez plusieurs constructeurs de matériel réseau, dont Cisco et Fortinet. Beaucoup de patchs correctifs ont d’ailleurs suivi ces révélations critiques…
Mais voila, en analysant ces outils dédiés à l’espionnage de masse, le chercheur en sécurité Mustafa Al-Bassam s’est rendu compte que l’un d’entre eux, baptisé BenignCertain, visait l’ancien pare-feu Cisco PIX (Private Internet EXchange), via une faille dans l’implémentation du protocole Internet Key Exchange. Le but de l’exploitation est d’extraire les clés VPN partagées qui y transitent, de façon totalement transparente et facile : l’outil était destiné à être utilisé par n’importe qui, sans avoir de connaissances particulières, dans le but de déchiffrer les connexions chiffrées.
Comme l’indique Ars Technica, Cisco a été averti de cette faille mais qu’elle ne devait pas être corrigée étant donné le fait qu’elle touche une gamme de produits datant de 2009 et sans aucun support à ce jour. Cependant, suite en prenant en compte que près de 17 000 réseaux utilisent encore ce matériel à ce jour, Cisco a indiqué s’être penché sur le problème. Toutes les versions 6 et antérieures de PIX sont vulnérables (la 7 est hors de cause).
Un lien direct avec la NSA
Dans les document hautement confidentiels ayant été publié par Snowden, la NSA affirmait être en capacité de cracker et déchiffrer 1 000 connexions VPN par heure. Or, nombreux étaient ceux qui s’interrogeait sur le pourquoi du comment : d’où la NSA sortait t’elle les clés des VPN ? Aujourd’hui, les récentes révélations touchant Equation Group et plus particulièrement son redoutable outil BenignCertain pourrait être la réponse à cette interrogation, le lien direct entre la NSA et EquationGroup n’étant plus à prouvé.
BenignCertain permettait bien d’intercepter les clés VPN et de déchiffrer les flux. Le chercheur note par ailleurs que ce même outil est fortement lié à un second, baptisé FalseMorel, dont le rôle est d’extraire le mot de passe administrateur des pare-feu Cisco PIX.
Cisco a prévenu que le matériel vulnérable en question le restera faute de patch, et qu’il ne devrait plus être utilisé nul part. Espérons que le rappel de Cisco vis-à-vis du danger d’utiliser du matériel obsolète non mis à jour ne tombera pas dans l’oreille d’un sourd… Selon la société, les équipements concernés doivent être remplacés rapidement au risque de voir de nombreuses informations fuiter.
Source : NextInpact
Les commentaires sont fermés.