Discussion :

[Anthony]

Les USA offrent une récompense de 10 millions de $ pour toute information sur trois Russes accusés d'avoir attaqué des infrastructures critiques, en exploitant une faille Cisco vieille de 7 ans non corrigée

Le gouvernement américain a annoncé une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d'identifier ou de localiser trois agents des services secrets russes accusés d'avoir mené des cyberattaques contre des infrastructures critiques. Cette prime, offerte dans le cadre du programme « Récompenses pour la justice » du département d'État, vise des membres du Service fédéral de sécurité russe (FSB), qui, selon le FBI, auraient exploité une vulnérabilité connue des équipements Cisco pour infiltrer des réseaux informatiques à l'échelle mondiale, y compris des entreprises du secteur de l'énergie dans 135 pays.

Pour rappel, des pirates informatiques ont déjà exploité une vulnérabilité logicielle dans les appliances de sécurité de Cisco en 2018. Identifié sous l'identifiant CVE-2018-15454, la faille a affecté le moteur d'inspection SIP (Session Initiation Protocol) dans les logiciels ASA (Adaptive Security Appliance) et FTD (Firepower Threat Defense) de Cisco, exposant les appareils à des attaques par déni de service à distance sans authentification. Malgré les avertissements et les mesures d'atténuation limités, Cisco a reconnu qu'aucun correctif permanent n'a encore été publié pour résoudre complètement le problème.

S'appuyant sur ces faiblesses, les pirates parrainés par l'État russe ont intensifié leur activité en 2024. Le FBI a indiqué que des hackers soutenus par l'État russe ont ciblé des milliers d'appareils réseau associés aux secteurs des infrastructures critiques des États-Unis au cours de l'année passée. Selon l'agence, ces cybercriminels sont associés au Centre 16 du Service fédéral de sécurité russe (FSB).

L'annonce du gouvernement américain coïncide en outre avec une nouvelle alerte du Federal Bureau of Investigation (FBI) détaillant les activités de l'unité Centre 16 du FSB. Le FBI a détecté que ces pirates informatiques exploitaient une vulnérabilité connue des équipements réseau Cisco pour infiltrer des réseaux informatiques à l'échelle mondiale.

Les trois officiers identifiés dans l'avis de récompense sont Marat Valeryevich Tyukov, Mikhail Mikhailovich Gavrilov et Pavel Aleksandrovich Akulov. Outre leurs attaques contre des cibles américaines, le trio est accusé d'avoir pris pour cible plus de 500 entreprises énergétiques étrangères dans 135 pays.

Les États-Unis offrent une récompense de 10 millions de dollars pour les pirates informatiques du FSB

Selon le FBI, les cybercriminels du FSB exploitent la CVE-2018-0171, une vulnérabilité critique du protocole Cisco Smart Install (SMI). Les pirates informatiques ciblent spécifiquement les périphériques réseau en fin de vie qui ne reçoivent plus de mises à jour de sécurité.

En exploitant le protocole SNMP (Simple Network Management Protocol) et la vulnérabilité non corrigée de Cisco, le groupe a réussi à collecter les fichiers de configuration de milliers d'appareils réseau associés à des entités américaines dans des secteurs critiques.

Une fois à l'intérieur des réseaux, les acteurs ont modifié les configurations des appareils afin de créer des portes dérobées non autorisées. Cet accès persistant a ensuite été utilisé pour mener une reconnaissance détaillée, en mettant particulièrement l'accent sur les protocoles et les applications couramment utilisés dans les systèmes de contrôle industriel (ICS).

Cette focalisation témoigne d'un intérêt manifeste et dangereux pour les systèmes qui gèrent des services essentiels, tels que les réseaux électriques, les usines de traitement des eaux et les installations industrielles.

Cette unité de piratage du FSB, connue sous divers noms dans la communauté de la cybersécurité, notamment « Berserk Bear », « Dragonfly » et « Static Tundra », est active depuis plus d'une décennie. Ce groupe a une longue histoire de compromission de périphériques réseau à travers le monde, souvent en ciblant des équipements qui utilisent des protocoles hérités et non chiffrés tels que SMI et les anciennes versions de SNMP.

Leurs techniques comprennent le déploiement de logiciels malveillants personnalisés, tels que l'outil publiquement identifié comme « SYNful Knock » en 2015, qui était conçu pour compromettre des périphériques Cisco spécifiques.

En réponse à cette menace persistante, les agences fédérales américaines et leurs partenaires du secteur privé ont émis plusieurs alertes. De plus, le groupe de renseignement Talos de Cisco a publié sa propre analyse de l'auteur de la menace le 20 août 2025.

Le programme Rewards for Justice sollicite désormais des informations via un canal sécurisé basé sur Tor, offrant une rémunération potentielle en plus d'une récompense de plusieurs millions de dollars pour toute information permettant de perturber ces cyberopérations en cours.

L'annonce de cette récompense souligne l'escalade des cybermenaces imputables à l'État russe. En mai dernier, le ministère américain de la Justice a annoncé l'inculpation de 16 Russes présumés liés au réseau de botnets Danabot. Selon un rapport de CrowdStrike, cet outil a fait des victimes dans les secteurs des services financiers, des transports, de la technologie et des médias. DanaBot a également été utilisé à des fins d'espionnage entre États, comme le mentionne la plainte du ministère de la Justice.

Sources : Le département d'État américain, Vulnérabilité CVE-2018-0171, Communiqué du FBI

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous que les accusations formulées à l'encontre de ces agents russes sont crédibles ou pertinentes ?

Voir aussi :

Les agences de sécurité américaines suspendent leur collaboration pour contrer le sabotage et les cyberattaques russes, tandis que Donald Trump se rapproche de Vladimir Poutine

Les États-Unis prévoient une contre-attaque cybernétique "agressive" contre la Russie, dans le cadre d'un changement majeur de tactique destiné à servir d'avertissement aux puissances rivales

Des pirates informatiques pro-russes ont ouvert à distance les vannes d'un barrage en Norvège, libérant plus de 7,2 millions de litres d'eau, une attaque attribuée au groupes pro-russes Z-Alliance

[Waikiki]

Et demander des comptes aux responsables qui n'ont pas assuré que la faille soit corrigée ?

[Alex]

Pas moins de 2 millions d'appareils Cisco sont touchés par une faille zero-day activement exploitée, une recherche montre que 2 millions d'interfaces SNMP Cisco vulnérables sont exposées à Internet.

Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day très grave dans les logiciels Cisco IOS et IOS XE, qui est actuellement exploitée dans le cadre d'attaques. Identifiée sous le numéro CVE-2025-20352, cette faille est due à une vulnérabilité de type débordement de tampon basée sur la pile, présente dans le sous-système SNMP (Simple Network Management Protocol) des logiciels IOS et IOS XE vulnérables, et affecte tous les appareils sur lesquels le protocole SNMP est activé.

Début septembre, le gouvernement américain a annoncé une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d'identifier ou de localiser trois agents des services secrets russes accusés d'avoir mené des cyberattaques contre des infrastructures critiques. Cette prime, offerte dans le cadre du programme « Récompenses pour la justice » du département d'État, vise des membres du Service fédéral de sécurité russe (FSB), qui, selon le FBI, auraient exploité une vulnérabilité connue des équipements Cisco pour infiltrer des réseaux informatiques à l'échelle mondiale, y compris des entreprises du secteur de l'énergie dans 135 pays.

Pour information, Cisco développe, fabrique et commercialise du matériel réseau, des logiciels, des équipements de télécommunication et d'autres services et produits de haute technologie. Cisco est spécialisée dans des marchés technologiques spécifiques, tels que l'Internet des objets (IoT), la sécurité des domaines, la vidéoconférence et la gestion de l'énergie, avec des produits tels que Webex, OpenDNS, Jabber, Duo Security, Silicon One et Jasper.

Récemment, Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day très grave dans les logiciels Cisco IOS et IOS XE, qui est actuellement exploitée dans le cadre d'attaques. Identifiée sous le numéro CVE-2025-20352, cette faille est due à une vulnérabilité de type débordement de tampon basée sur la pile, présente dans le sous-système SNMP (Simple Network Management Protocol) des logiciels IOS et IOS XE vulnérables, et affecte tous les appareils sur lesquels le protocole SNMP est activé.

Des attaquants distants authentifiés disposant de faibles privilèges peuvent exploiter cette vulnérabilité pour déclencher des conditions de déni de service (DoS) sur les appareils non corrigés. Les attaquants disposant de privilèges élevés, quant à eux, peuvent prendre le contrôle total des systèmes exécutant le logiciel Cisco IOS XE vulnérable en exécutant du code en tant qu'utilisateur root.

« Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet SNMP spécialement conçu à un appareil affecté sur des réseaux IPv4 ou IPv6 », a déclaré Cisco dans un avis publié. « L'équipe PSIRT (Product Security Incident Response Team) de Cisco a pris connaissance de l'exploitation réussie de cette vulnérabilité dans la nature après que les identifiants de l'administrateur local aient été compromis. Cisco recommande vivement à ses clients de passer à une version corrigée du logiciel afin de remédier à cette vulnérabilité. »

Bien qu'il n'existe aucune solution de contournement pour remédier à cette vulnérabilité autre que l'application des correctifs publiés aujourd'hui, Cisco a déclaré que les administrateurs qui ne peuvent pas mettre à niveau immédiatement le logiciel vulnérable peuvent temporairement atténuer le problème en limitant l'accès SNMP sur un système affecté aux utilisateurs de confiance. « Pour remédier complètement à cette vulnérabilité et éviter toute exposition future telle que décrite dans cet avis, Cisco recommande vivement à ses clients de mettre à niveau leur logiciel vers la version corrigée indiquée dans cet avis », a averti la société.

Aujourd'hui, Cisco a corrigé 13 autres vulnérabilités de sécurité, dont deux pour lesquelles un code d'exploitation de preuve de concept est disponible. La première, une faille de type « reflected cross-site scripting » (XSS) dans Cisco IOS XE, référencée sous le numéro CVE-2025-20240, peut être utilisée par un attaquant distant non authentifié pour voler des cookies sur des appareils vulnérables. La seconde, référencée sous le nom CVE-2025-20149, est une vulnérabilité de type déni de service qui permet à des attaquants locaux authentifiés de forcer les appareils affectés à se recharger.

En mai, la société a également corrigé une faille IOS XE de gravité maximale affectant les contrôleurs LAN sans fil, qui permettait à des attaquants non authentifiés de prendre le contrôle à distance d'appareils à l'aide d'un jeton Web JSON (JWT) codé en dur.

Voici un extrait du rapport de Cisco :

Résumé

Une vulnérabilité dans le sous-système SNMP (Simple Network Management Protocol) des logiciels Cisco IOS et Cisco IOS XE pourrait permettre ce qui suit :

• Un attaquant distant authentifié disposant de privilèges limités pourrait provoquer un déni de service (DoS) sur un périphérique affecté exécutant le logiciel Cisco IOS ou Cisco IOS XE. Pour provoquer le DoS, l'attaquant doit disposer de la chaîne de communauté en lecture seule SNMPv2c ou antérieure ou d'informations d'identification utilisateur SNMPv3 valides.
  
  
• Un attaquant distant authentifié disposant de privilèges élevés pourrait exécuter du code en tant qu'utilisateur root sur un périphérique affecté exécutant le logiciel Cisco IOS XE. Pour exécuter du code en tant qu'utilisateur root, l'attaquant doit disposer de la chaîne de communauté en lecture seule SNMPv1 ou v2c ou d'informations d'identification utilisateur SNMPv3 valides et d'informations d'identification administratives ou privilégiées 15 sur le périphérique affecté.

Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet SNMP spécialement conçu à un périphérique affecté sur des réseaux IPv4 ou IPv6.

Cette vulnérabilité est due à une condition de débordement de pile dans le sous-système SNMP du logiciel affecté. Une exploitation réussie pourrait permettre à un attaquant disposant de privilèges limités de provoquer le rechargement du système affecté, entraînant une condition de déni de service, ou permettre à un attaquant disposant de privilèges élevés d'exécuter du code arbitraire en tant qu'utilisateur root et d'obtenir le contrôle total du système affecté.

Remarque : cette vulnérabilité affecte toutes les versions de SNMP.

Cisco a publié des mises à jour logicielles qui corrigent cette vulnérabilité. Il n'existe aucune solution de contournement pour corriger cette vulnérabilité. Il existe une mesure d'atténuation qui corrige cette vulnérabilité.

Source : Rapport de Cisco

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

En 2024, des pirates informatiques soutenus par l'État russe ont pris pour cible des milliers d'appareils réseau associés aux secteurs des infrastructures critiques des États-Unis, selon le FBI

La sécurité reste le grand oublié dans le déploiement de l'IA : Cisco a découvert 1 100 serveurs Ollama ouverts en ligne et exposés à des accès non autorisés, ce qui crée divers risques graves pour les hôtes

Les gouvernements ont plus que jamais recours à des piratages de type "zero-day". Les menaces "zero-day" ont tendance à augmenter, même si le nombre total de détections a baissé en 2024