On découvre de nouvelles vulnérabilités presque tous les jours. Les gens en parlent sur Internet, les développeurs publient des correctifs, et puis tout le monde finit par se calmer. On pourrait donc croire que tout va bien et que le problème est résolu. Ce n’est cependant pas le cas. Tous les administrateurs n’installent pas les mises à jour, surtout lorsqu’il s’agit de logiciels pour l’équipement réseau, car la mise à jour demande généralement beaucoup d’efforts.
Certains administrateurs système ne pensent pas que leur entreprise sera la cible de malfaiteurs. Certains parcourent les avis de sécurité officiels à la recherche des mots magiques « aucun signe d’exploitation réelle » et se détendent en pensant que cette vulnérabilité n’est que théorique.
L’année dernière, plusieurs vulnérabilités graves dans l’équipement Cisco ont été signalées. L’un des rapports, SNMP Remote Code Execution Vulnerabilities in Cisco IOS and IOS XE operating systems (identifiant de consultation : cisco-sa-20170629-snmp), a expliqué comment un tiers extérieur pourrait potentiellement acquérir le contrôle total du système. La seule chose dont il aurait besoin est d’une chaîne de communauté SNMP (une sorte d’identifiant d’utilisateur ou de mot de passe) en lecture seule pour le système concerné. Le problème est connu depuis juillet 2017. Cisco, qui prend les vulnérabilités au sérieux, l’a corrigé rapidement, et aucune tentative d’exploitation n’a donc été détectée.
Notre collègue Artem Kondratenko, un pentester expert, a réalisé un test de pénétration externe et découvert un routeur Cisco avec la chaîne de communauté SNMP par défaut. Il a décidé d’enquêter sur le danger potentiel de la vulnérabilité et il s’est donc fixé un objectif : obtenir l’accès au réseau interne via ce routeur. D’ailleurs, la découverte de Kondratenko n’était pas un fait isolé. Shodan a fait une liste de 3 313 périphériques du même modèle avec la chaîne de communauté par défaut.
Mais laissons de côté les détails techniques. Si vous voulez voir les recherches de Kondratenko de plus près, consultez sa conférence lors du Chaos Communications Congress. Ce qui compte ici, c’est le résultat final. Il a démontré que cette vulnérabilité peut être utilisée pour obtenir un accès au système à un privilège de niveau 15, soit le plus élevé possible pour le module IOS de Cisco. Donc, bien qu’il n’y ait pas de cas d’exploitation dans la nature pour le moment, ignorer la vulnérabilité n’est pas judicieux. Kondratenko n’a eu besoin que de quatre semaines entre la découverte du dispositif vulnérable et la réalisation d’une démonstration de faisabilité pour l’exploitation de cisco-sa-20170629-snmp.
Pour être sûr que votre routeur ne sera pas la première victime de cette vulnérabilité, il est recommandé de :
- Vous assurer que le logiciel de votre équipement réseau est à jour ;
- Ne pas utiliser une chaîne de communauté par défaut dans les routeurs connectés au réseau externe (encore mieux, évitez d’utiliser les chaînes de communauté par défaut de manière générale) ;
- Surveiller les annonces de fin de vie de vos périphériques réseau ; après cela, ils ne seront plus pris en charge par les fabricants et ne recevront probablement plus de mises à jour.