Discussion :

[Stéphane le calme]

Un groupe de pirates prétend vendre aux enchères des malwares et exploits utilisés par la NSA,
Cisco et Fortinet confirment que les vulnérabilités sont authentiques

En février 2015, l’éditeur russe d’antivirus Kaspersky a publié un rapport qui faisait état d’une campagne d’attaques de grande ampleur réalisée par un groupe baptisé « Equation Group » que le Russe avait identifié comme étant le « dieu » du cyberespionnage. Selon Kaspersky, ce dernier a été particulièrement actif au cours de la première décennie des années 2000, toutefois, le Russe évoque également certains cas qui remontent à 1996. Étant donné que les logiciels malveillants ainsi que les techniques utilisées par Equation Group se sont démarqués de leurs contemporains par leur niveau de sophistication, Kaspersky n’a pas hésité à émettre une hypothèse selon laquelle il existe un lien entre les outils développés par Equation Group et l’apparition de logiciels malveillants tels que Stuxnet ou Flame.

Sans jamais citer explicitement les services de la NSA, Kaspersky a expliqué dans son rapport que les capacités et la complexité des programmes attribués à Equation Group laissent penser qu’un acteur étatique était ici à la manœuvre. Un mois plus tard, Kaspersky a publié une autre analyse, encore une fois sans nommer explicitement la NSA, qui donnait du poids à sa première hypothèse, notamment qu’Equation Group était financé par un État.

Il y a quelques jours, un groupe de pirates qui se font appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant à ce fameux groupe Equation Group. Dans un anglais très maladroit, ils ont déclaré : « Nous avons pisté le trafic d’Equation Group. Nous avons découvert la plage source d’Equation Group. Nous avons piraté Equation Group. Nous avons découvert de nombreuses cyberarmes conçues par Equation Group. Regardez vous-même les images. Nous allons vous donner gratuitement quelques fichiers d’Equation Group pour que vous puissiez les voir. Il s’agit d’une bonne preuve, pas vrai ? »

Sur leur site web, ils ont partagé des échantillons que des experts en cybersécurité ont examinés. Plusieurs d’entre eux ont conclu que ces échantillons semblent accréditer la thèse d’un piratage ayant débouché sur le vol des outils du Equation Group. Pour sa part, Matt Suiche, le fondateur de la startup spécialisée en cybersécurité Comae Technologies, a avancé : « Je n’ai pas encore testé ces exploits, mais il est évident qu’ils ressemblent à des exploits légitimes. » Le groupe de pirates a décidé de lancer des enchères en bitcoins pour vendre lesdits outils.

La NSA, qui est la victime supposée de ce piratage, s’est refusée à tout commentaire. Quoi qu’il en soit, Edward Snowden, l’ancien contractuel de la NSA, ne s’est pas fait prier pour donner son avis sur les réseaux sociaux. Selon lui, l’hypothèse la plus crédible est que ce groupe de pirates est parvenu à mettre la main sur un serveur de C&C appartenant à la NSA pour récupérer les fichiers qu’ils ont mis aux enchères. S’il rappelle que ce type de piratage n’est pas une première au sein des agences de renseignements, il précise tout de même que ce genre de manœuvre se fait rarement de manière publique.

Il s’est intéressé au timing des révélations de « The Shadow Brokers » qui intervient après un piratage de la convention démocrate et des comptes personnels de plus de 100 membres du parti démocrate, rapidement attribué à la Russie. Un timing qui laisse à penser que la Russie pourrait être derrière ce piratage.

Si des questions se posaient encore sur le piratage, Cisco a donné du poids dans une déclaration, confirmant l’authenticité des vulnérabilités vendues. L’équipementier a averti ses clients sur la présence de deux vulnérabilités qui ont été utilisées pour prendre le contrôle de ses équipements. « Cisco a immédiatement mené une enquête approfondie des fichiers qui ont été publiés et a identifié deux vulnérabilités affectant les dispositifs Cisco ASA qui nécessitent l'attention des clients », a déclaré l’entreprise. « Le 17 août 2016, nous avons émis deux avis de sécurité qui apportent des mises à jour logicielles gratuites ainsi que des solutions de contournement. »

Les exploits dont parle Cisco sont EpicBanana et ExtraBacon. EpicBanana était déjà connue et corrigée par Cisco en 2011. Celle-ci vise les Cisco ASA (Adaptive Security Appliance) et permet des attaques par déni de service ainsi que l’exécution de code potentiellement malveillant sur la machine visée. Toutefois, l’attaquant doit connaître le mot de passe SSH ou Telnet pour pouvoir mener à bien l’attaque. ExtraBacon est en revanche inconnue de Cisco et constitue donc une faille zero day. Ici, l’exploit vise également le pare-feu Cisco ASA sur des versions particulières (à partir de la 8.x jusqu’à la 8.4). Si l’attaque est lancée avec succès, l’exploit permet à un attaquant d’avoir accès au pare-feu sans un nom ou un mot de passe valide. Cisco a proposé une solution de contournement et travaille sur un correctif de sécurité.

Après Cisco, Fortinet a également publié une annonce où il déclare à ses clients qu’une des vulnérabilités publiées par The Shadow Brokers est authentique et vise l’un de ses équipements. Elle affecte notamment les machines FortiGate et permet à l’attaquant de prendre le contrôle de la machine. Notons que cette vulnérabilité a déjà été colmatée, par ailleurs elle n’affecte que les versions du firmware antérieures à la version 4.3.9.

Source : blog Cisco, blog FortiGate, tweeter Snowden, Kaspersky

[LSMetag]

@Nekara : Tu vois ce que je disais quand je parlais de hackers qui récupèrent les infos chez les autorités.

[MikeRowSoft]

Un groupe de pirates prétend vendre aux enchères des malwares et exploits utilisés par la NSA,
Cisco et Fortinet confirment que les vulnérabilités sont authentiques

...

Si des questions se posaient encore sur le piratage, Cisco a donné du poids dans une déclaration, confirmant l’authenticité des vulnérabilités vendues.

...

Source : blog Cisco, blog FortiGate, tweeter Snowden, Kaspersky

Cisco en a acheté quelques unes ? (Si oui, à quelle prix ?)

[RyzenOC]

Je suis content mais aussi terrifié.

Content car sa montre que les backdoors de la NSA (ou une autre agence) menace les gouvernements et les entreprises et peuvent au final aider/contribuer aux terrorisme.
Il en sera de même avec les boites noir en France, cela ne fait aucun doute.

Terrifier, car comme je l'avais expliquer dans un autre message, aujourd'hui prendre le contrôle d'un pc windows, tous le monde s'en fou. Pour un serveur linux comme c'est open source n'importe quelles entreprises/gourvenement pourra payer une équipe à la recherche de failles et les combler. En revanche réussir à collecter des données directement sur les routeurs (monopole cisco...), ou directement sur les processeur Intel (xeon) la c'est un vrai problème pour la souveraineté de tous les pays.
Si la chine et les russes développe leurs propres processeur on comprend surtout pourquoi, car aller trafiquer le micro code d'un cisco ou d'un Xeon, déjà c'est interdit et surtout c'est trop compliquer voir impossible.

[MikeRowSoft]

Pour un serveur linux comme c'est open source n'importe quelles entreprises/gourvenement pourra payer une équipe à la recherche de failles et les combler.

En plus selon la licence il faut signaler les changements apporté au code source auprès du prestataire de certaines licences et aussi mettre le code source open source à disposition du grand public.

Apple et Darwin OS... À oui, maintenant c'est plus que Apple...

En revanche réussir à collecter des données directement sur les routeurs (monopole cisco...), ou directement sur les processeur Intel (xeon) la c'est un vrai problème pour la souveraineté de tous les pays.

Je me suis rendu compte que la canne à sucre servant principalement à la fabrication de sucre roux et d'éthanol a des choses en commun avec le maïs, surtout les causes de problèmes pour les agriculteurs...

[Jeanchristophe56]

Enfin, apparemment ce piratage a eu lien il y a plus de 3 ans.
C'est maintenant qu'il le soumette au public, mais ils ont du bien l'utiliser auparavant.
Pas de quoi être effrayè au vu que c'est certainement une agence gouvernementale derrière tout ça, qui à dit la Russie ?

[Aeson]

Pour un serveur linux comme c'est open source n'importe quelles entreprises/gourvenement pourra payer une équipe à la recherche de failles et les combler.

Si les entreprises faisaient vraiment ça les failles dans BASH et OpenSSL n'aurait pas traînées 15 ans a être corrigées... La NSA ne s'en est pas privée par contre... (sans les corriger évidement ) on en a encore la preuve maintenant.

Mon Linux est secure contre l’espionnage et les mouchards... mdrrr Depuis le temp qu'on vous dis que c'est un reve....

aujourd'hui prendre le contrôle d'un pc Windows, tous le monde s'en fou

Dois-je vraiment rappeler que 90 % des serveurs d'entreprises tournent sous Windows ?????

[marsupial]

Bjr,Désolé de te dire que tout ton post est du parti pris, voire un déni d'une partie de la réalité. MS le prouve encore avec W10 et sa politique dite de confidentialité totalement hors la loi en Europe.
Et cela ne date pas d'hier. Entre un produit comportant des bugs exploités et celui laissant des failles afin de servir les autorités de son pays, la nuance est de taille.
Les autorités militaires françaises ont demandé des comptes aux USA sur les backdoors et failles des routeurs CISCO : réponse au début de l'été," ce n'est pas prioritaire".
Il s'agit d'une situation extrêmement grave en termes de compétitivité, souveraineté et sûreté intérieure.
Cdt.

[Aeson]

MS le prouve encore avec W10 et sa politique dite de confidentialité totalement hors la loi en Europe.

Ah bon ? T'as des jugements pour prouver ce que tu dis ?

Entre un produit comportant des bugs exploités et celui laissant des failles afin de servir les autorités de son pays, la nuance est de taille.

Là encore... spéculation sans aucune preuve derrière... comme d'habitude.

Il s'agit d'une situation extrêmement grave en termes de compétitivité, souveraineté et sûreté intérieure.

Rien de nouveaux... croire que parce-que les OS ou les Soft sont OpenSource il n'y a pas de backdoor est ridicule. Croire qu'il n'y a aucun backdoor dans Linux aussi. Vous ne les voyez pas c'est tous.

[marsupial]

Bjr,Désolé de te dire que tout ton post est du parti pris, voire un déni d'une partie de la réalité. MS le prouve encore avec W10 et sa politique dite de confidentialité totalement hors la loi en Europe.
Et cela ne date pas d'hier. Entre un produit comportant des bugs exploités et celui laissant des failles afin de servir les autorités de son pays, la nuance est de taille.
Les autorités militaires françaises ont demandé des comptes aux USA sur les backdoors et failles des routeurs CISCO : réponse au début de l'été," ce n'est pas prioritaire".
Il s'agit d'une situation extrêmement grave en termes de compétitivité, souveraineté et sûreté intérieure.
Cdt.

Ah bon ? T'as des jugements pour prouver ce que tu dis ?

Oui : le jugement en cours de la CNIL.


Là encore... spéculation sans aucune preuve derrière... comme d'habitude.

Excusez-moi, mais où étiez-vous lors des révélations de Snowden ?

Rien de nouveaux... croire que parce-que les OS ou les Soft sont OpenSource il n'y a pas de backdoor est ridicule. Croire qu'il n'y a aucun backdoor dans Linux aussi. Vous ne les voyez pas c'est tous.

Personne n'a dit cela.

[Aeson]

Personne n'a dit cela.

C'est quoi la nouveauté alors ?

Les routeurs et les reste sont pleins de Backdoor... Windows, Linux, Les Routeurs (Les CPU et HDD ?).....

Les Linuxiens tombent des nues je sais... mais c'est pas comme si personne ne les avaient prévenus....

[Stéphane le calme]

Shadow Brokers : des documents d'Edward Snowden suggèrent que les exploits piratés appartiennent à la NSA,
l'agence américaine s’abstient de tout commentaire

Il y a quelques jours, un groupe de pirates qui se font appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Sur son site web, The Shadow Brokers a publié un échantillon d’exploits qu’il a pu récupérer, afin de prouver qu’ils avaient effectivement réussi le piratage. La communauté des chercheurs a analysé ces échantillons et nombreux sont ceux qui ont affirmé qu’il s’agit bel et bien d’exploits légitimes. Plus tard, Cisco et Fortinet vont eux aussi jeter un coup d’œil et publier une annonce où ils confirment l’authenticité de ces exploits et invitent leurs clients à effectuer des mises à jour de sécurité.

Si des hypothèses ont indiqué que ce fameux « dieu » du cyberespionnage est en réalité un groupe de pirates soutenus par un État, certains, comme Kaspersky, ont pensé que Equation Group est en réalité rattaché à la NSA, ne manquant pas de s’exprimer avec précaution, sans doute de peur d’inciter à des représailles diplomatiques. Toutefois, la NSA, qui est la victime supposée de ce piratage, s’est bien gardée de formuler un commentaire officiel, évitant ainsi de confirmer ou d’infirmer son lien avec Equation Group.

Pourtant, après le piratage, le quotidien Intercept vient confirmer que, sur la base de documents fournis par Edward Snowden qui n’ont pas encore été publiés, l’arsenal de cyberarmes porte bien la marque de fabrique de la NSA : « la provenance du code a été le centre d’un débat houleux cette semaine au sein de la communauté des experts en sécurité et, bien que la question de savoir comment le piratage a eu lieu demeure encore un mystère, une chose est désormais au-delà de toute spéculation : le logiciel malveillant porte l’empreinte numérique de la NSA et est clairement en provenance de l’agence ». Quelle est cette fameuse empreinte numérique ?

Intercept évoque une instruction émanant d’un manuel d’implantation de logiciel malveillant, qualifié top secret par l’agence, qui a été fourni par Snowden et n’a pas encore été porté à la connaissance du public. « Le projet de manuel indique aux opérateurs de la NSA de suivre leur utilisation d'un programme de logiciel malveillant en utilisant une chaîne spécifique de 16 caractères, "ace02468bdf13579". C’est exactement la même chaîne de caractères qui apparaît sur le code de SECONDDATE qui a été dévoilé par The Shadow Brokers ». Le même nom de code était employé dans les documents fournis par Snowden.

SECONDDATE, qui est décrit comme étant un outil « conçu pour intercepter les requêtes web et rediriger les navigateurs sur des ordinateurs ciblés vers un serveur web de la NSA, lequel va en retour infecter ces ordinateurs », aurait infecté des millions d’ordinateurs de par le monde. « Sa publication par The Shadows Brokers, ainsi que des douzaines d’autres outils malveillants, marque la première fois qu’une copie des logiciels offensifs de la NSA sont portés à la connaissance du public, donnant un aperçu de ce à quoi ressemblent les systèmes complexes décrits dans les documents de Snowden lorsqu’ils sont déployés dans le monde réel, ainsi que des preuves concrètes du fait que les pirates de la NSA n’ont pas toujours le dernier mot en ce qui concerne l’exploitation d’un ordinateur ».

Matthew Green, cryptographe à la Johns Hopkins University, a avancé que « le danger de ces exploits est qu'ils peuvent être utilisés pour cibler toute personne qui se sert d’un routeur vulnérable. C’est comme si vous aviez laissé des outils de crochetage dans la cafétéria d’un lycée. Dans les faits, la situation est pire parce que parmi ces exploits, nombreux sont ceux qui ne sont pas disponibles par d'autres moyens. Alors ce n’est que maintenant que sont informés les constructeurs de pare-feu et de routeurs, qui ont besoin de les corriger, ainsi que les clients qui sont vulnérables.

Ainsi, le risque est double : tout d’abord, la personne ou le groupe de personnes qui ont volé ces informations auraient pu les utiliser contre nous. S’il s’agit bien de la Russie, alors nous pouvons supposer qu'ils ont probablement leurs propres exploits, mais il n'y a pas besoin de leur donner plus. Et maintenant que les exploits ont été publiés, nous courons le risque que les criminels lambda les utilisent contre des entreprises prises pour cibles » .

Source : Intercept

[Stéphane le calme]

Shadow Brokers : la NSA a pu espionner le trafic chiffré de nombreux clients Cisco pendant une décennie,
d'après l'analyse d'un exploit

Un groupe de pirates, qui se font appeler « The Shadow Brokers », a annoncé avoir pu mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Par la suite, des documents de l’ancien contractuel de la NSA Edward Snowden, ont permis à Intercept de trouver des traces de la signature numérique de la NSA dans l’échantillon des exploits publié par The Shadow Brokers, lui permettant d’apporter des éléments de preuve à une hypothèse qui avait déjà été formulée depuis des années : la NSA est derrière Equation Group.

Lorsque les exploits ont été publiés, Cisco et Fortinet, qui ont eux jeter un coup d’œil au même titre que de nombreux chercheurs dans la communauté de la sécurité informatique, ont publié des annonces dans lesquelles ils ont confirmé l’authenticité de ces exploits et ont invité leurs clients à effectuer des mises à jour de sécurité.

Si les révélations d’Edward Snowden sur les exactions de la NSA avec ses programmes d’espionnage semblaient très théoriques, The Shadow Brokers vient apporter des preuves plus tangibles sur l’étendue de la surveillance de la NSA, notamment sur le fait que l’agence a pu espionner systématiquement de nombreux clients de Cisco Systems pendant une décennie. Parmi les exploits publiés, des chercheurs en sécurité ont découvert par exemple une attaque qui extrait à distance les clés RSA de déchiffrement sur les lignes du pare-feu PIX de l’entreprise qui sont désormais abandonnées. Pour rappel, Cisco PIX (Private Internet EXchange) est un boîtier pare-feu vendu par Cisco Systems.

La découverte est relativement importante dans la mesure où le code d’attaque, qui a été baptisé BENIGNCERTAIN a été lancé sur les versions Cisco PIx datant de 2002 jusqu’à la version datant de 2009. Et, bien que Cisco ait fourni un correctif de sécurité en juillet 2009, l’entreprise a continué à offrir un service et un support limité pour le produit durant quatre années supplémentaires. À moins que les clients PIX n’aient pris des précautions particulières, théoriquement la quasi-totalité d’entre eux ont été vulnérables à des attaques conduisant à l’espionnage sur leur trafic VPN. En plus de permettre l’espionnage du trafic VPN chiffré, l’extraction de clés permet également d’avoir un accès complet à un réseau vulnérable en se faisant passer pour un utilisateur distant.

Un chercheur s’est lancé dans l’explication du code et trois autres chercheurs ont confirmé que l’exploit fonctionnait effectivement sur des installations PIX. Comme l’explique le chercheur Mustafa Al-Bassam, l’exploit consiste en trois binaires, chacun représentant une étape individuelle dans le processus d’exploitation. Il a donné un peu plus de détails sur le fonctionnement de l’exploit. Après son analyse, il a avancé que « cela montre que la NSA avait la capacité d’extraire à distance des clés confidentielles des VPN de Cisco pendant plus d’une décennie ». Et, faisant référence aux documents publiés par Edward Snowden, il a continué en disant que « cela explique la raison pour laquelle ils ont été en mesure de déchiffrer des milliers de connexions VPN par minute comme cela est indiqué dans les documents précédemment publiés par Der Spiegel ».

BENIGNCERTAIN exploite une vulnérabilité dans l'implémentation de Cisco de l'Internet Key Exchange (IKE), un protocole qui utilise des certificats numériques pour établir une connexion sécurisée entre deux parties. L'attaque envoie des paquets malveillants à un dispositif PIX vulnérable. Les paquets obligent le dispositif vulnérable à retourner une partie de la mémoire. Un outil d'analyse syntaxique inclus dans l'exploit est alors en mesure d'extraire des données de clés et d'autres configurations prépartagées du VPN sur la réponse. Selon l’un des chercheurs qui ont aidé à confirmer l’authenticité de l'exploit, il travaille à distance, sur l'interface extérieure de PIX. Cela signifie que toute personne sur internet peut l'utiliser. Aucun prérequis n’est nécessaire pour faire fonctionner l’exploit. Fait encore plus intéressant, le Cisco ASA (Adaptive Security Appliance), le pare-feu qui est venu remplacer le PIX, présentait la même vulnérabilité IKE qui a été colmatée il y a seulement quelques mois et était considérée par l’équipementier comme étant critique. Voici une capture envoyée par le chercheur pour montrer le résultat final de l’attaque.

Il faut noter que le moteur de recherche Shodan indique que plus de 15 000 réseaux de par le monde continuent de se servir de PIX, la Russie, les États-Unis et l’Australie étant en tête des pays qui les utilisent le plus.

Cisco, qui était resté silencieux suite à cette révélation et se contentait d’évoquer une politique de fin de vie, a été obligé de modifier un billet de blog qu’il avait précédemment rédigé. Dans la mise à jour, Cisco indique « le 19 août, des articles de presse concernant l'exploit BENIGNCERTAIN qui aurait potentiellement été utilisé pour exploiter les pare-feu existants Cisco PIX ont été publiés. Notre enquête à ce jour n'a pas identifié de nouvelles vulnérabilités dans les produits actuels liés à l'exploit. Même si le Cisco PIX n’est pas pris en charge et n'a pas été pris en charge depuis 2009 (voir avis EOL / EOS), par souci pour les clients qui utilisent encore PIX, nous avons étudié cette question et avons trouvé que les versions PIX 6.x ainsi que les versions précédentes sont affectées. les versions PIX 7.0 et les versions ultérieures ne sont pas affectées par BENIGNCERTAIN. Le Cisco ASA n’est pas vulnérable ».

Source : blog Cisco, blog Cisco (avertissement de sécurité sur IKE), blog Mustafa Al-Bassam, Shodan, Kevin Beaumont, XORcat (capture d'écran), Brian

[BufferBob]

(...) plus de 15 000 réseaux de par le monde continuent de se servir de PIX, la Russie, les États-Unis et l’Australie étant en tête (...)

et la France aussi.

[LSMetag]

"Pas de commentaire" est souvent synonyme d'acquiescement.

Bon ben merci de poursuivre ce combat contre la NSA, dont je fustige l'absence de principes et de respect des lois.

[Stéphane le calme]

Shadow Brokers : un résumé de la liste des fichiers appartenant à Equation Group qui a été publié
avec les descriptifs associés

Près de deux semaines se sont écoulées depuis que le groupe de pirates se faisant appeler « The Shadow Brokers » a publié des échantillons d’exploits en ligne qu’ils ont prétendu avoir dérobés à « The Equation Group », un groupe disposant d’un arsenal de surveillance numérique tellement impressionnant et sophistiqué qu’il lui a valu le surnom de « dieu » de l’espionnage par Kaspersky. Plusieurs experts ont rattaché ce groupe à la NSA et, sur la base de documents de l’ancien contractuel de la NSA qui n’avaient pas encore été révélés au public, le quotidien Intercept a noté la signature numérique de la NSA, fournissant ainsi un élément de preuve qui va dans la direction des suppositions des experts.

Si des réserves avaient été émises de prime abord quant à la légitimité des exploits, l’équipementier Cisco, suivi par Fortinet ont confirmé dans déclarations que leurs infrastructures étaient vulnérables et que des mesures ont été prises pour endiguer les failles. De son côté, Kaspersky a lui aussi analysé le code qu’il a comparé avec les échantillons de code dans ses archives et a trouvé de nombreuses similitudes entre autres dans les modèles de codage qui lui ont fait déclarer « avec un grand degré de certitude » que les exploits publiés par The Shadow Brokers proviennent effectivement de The Equation Group. « Dans le logiciel malveillant de The Equation Group, la bibliothèque de chiffrement se sert d’une opération de soustraction avec la constante 0x61C88647. Dans la majorité du code RC5 /6 disponible publiquement, cette constante est généralement enregistrée comme étant 0x9E3779B9, qui est basiquement -0x61C88647. Étant donné que l’addition est plus rapide sur certains dispositifs matériels que la soustraction, il est logique de garder la constante dans sa forme négative et de l’ajouter au lieu de soustraire ».

Shadow Brokers a indiqué avoir publié 60 % des fichiers en leur possession puis a décidé de lancer une vente aux enchères afin de vendre les 40 % restant. La plupart des liens URL menant aux détails publiés par Shadow Brokers (sur GitHub, Tumblr ou alors PasteBin) ont été supprimés. Il n'y a aucun nouvel élément ici, toutefois, voici un récapitulatif des différents exploits et outils qui ont pu être trouvés avec les descriptifs associés.

Ici, un outil va désigner un logiciel qui peut déployer de multiples implants ainsi que des exploits. Un implant va représenter un logiciel malveillant qui est installé sur un dispositif compromis. Un exploit pour sa part va représenter une vulnérabilité qui permet à l'attaquant de compromettre le dispositif, d'extraire des données, ou de déployer un implant/outil.

Nom	Type	Description
1212/DEHEX	Outil	Outil pour convertir les chaînes de caractères hex en adresses IP et ports
BANANABALLOT	Implant	Implant BIOS
BANANAGLEE	Implant	Implant pare-feu qui ne persiste pas après des réinitialisations. Il fonctionne sur les dispositifs Cisco ASA et PIX
BANANALIAR	Outil	Se connecte à un implant (qui n'est pas encore déterminé pour le moment)
BANNANADAIQUIRI	Implant	Est associé à SCREAMINGPILLOW
BARGLEE	Implant	S'attaque aux pare-feu Juniper NetScreen 5.x
BARICE	Outil	Shell pour déployer BARGLEE
BARPUNCH	Implant	Module BANANAGLEE et BARGLEE
BBALL	Implant	Module BANANAGLEE
BBALLOT	Implant	Module BANANAGLEE
BBANJO	Implant	Module BANANAGLEE
BCANDY	Implant	Module BANANAGLEE
BEECHPONY	Implant	Implant pare-feu (prédécesseur BANANAGLEE)
BENIGNCERTAIN	Outil	Outil pour extraire les clés VPN des pare-feu Cisco PIX
BFLEA	Implant	Module BANANAGLEE
BILLOCEAN	Outil	Extrait des nombres sérialisés des pare-feu Fortinet Fortigate
BLATSTING	Implant	Implant pare-feu pour déployer EGREGIOUSBLUNDER et ELIGIBLEBACHELOR
BMASSACRE	Implant	Module BANANAGLEE et BARGLEE
BNSLOG	Implant	Module BANANAGLEE et BARGLEE
BOOKISHMUTE	Exploit	Exploit contre un pare-feu indéterminé
BPATROL	Implant	Module BANANAGLEE
BPICKER	Implant	Module BANANAGLEE
BPIE	Implant	Module BANANAGLEE et BARGLEE
BUSURPER	Implant	Module BANANAGLEE
BUZZDIRECTION	Implant	Implant pare-feu Fortinet Fortigate
CLUCKLINE	Implant	Module BANANAGLEE
CONTAINMENTGRID	Exploit	Charge utile préparée qui peut être déposée via l'exploit ELIGIBLEBOMBSHELL. Les pare-feu TOPSEC tournant sur running TOS 3.3.005.066.1 sont vulnérables
DURABLENAPKIN	Outil	Outil pour injection de paquets sur des connexions LAN
EGREGIOUSBLUNDER	Exploit	RCE pour des pare-feu Fortinet FortiGate qui affecte les versions 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600 et 3600A
ELIGIBLEBACHELOR	Exploit	Exploit sur les pare-feu TOPSEC tournant sur les versions 3.2.100.010, 3.3.001.050, 3.3.002.021 et 3.3.002.030 du système d'exploitation TOS
ELIGIBLEBOMBSHELL	Exploit	RCE pour les pare-feu TOPSEC affectant les versions allant de 3.2.100.010.1_pbc_17_iv_3 à 3.3.005.066.1
ELIGIBLECANDIDATE	Exploit	RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1
ELIGIBLECONTESTANT	Exploit	RCE des pare-feu TOPSEC affectant les versions 3.3.005.057.1 à 3.3.010.024.1 et qui ne peut être exécuté qu'après ELIGIBLECANDIDATE
EPICBANANA	Exploit	Élévation de privilèges sur Cisco ASA (versions 711, 712, 721, 722, 723, 724, 80432, 804, 805, 822, 823, 824, 825, 831, 832) et Cisco PIX (versions 711, 712, 721, 722, 723, 724, 804)
ESCALATEPLOWMAN	Exploit	Élévation de privilèges sur les produits WatchGuard. L'entreprise a assuré qu'il ne fonctionne pas sur ses nouveaux produits
EXTRABACON	Exploit	RCE sur Cisco ASA versions 802, 803, 804, 805, 821, 822, 823, 824, 825, 831, 832, 841, 842, 843, 844 (CVE-2016-6366)
FALSEMOREL	Exploit	Exploit Cisco qui extrait les mots de passe activés si Telnet est activé sur le dispositif
FEEDTROUGH	Implant	Implant persistant sur les pare-feu Juniper NetScreen pour déployer BANANAGLEE et ZESTYLEAK
FLOCKFORWARD	Exploit	Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL. Elle affecte les pare-feu TOPSEC tournant sur TOS 3.3.005.066.1
FOSHO	Outil	Bibliothèque Python pour modifier les requêtes HTTP utilisées dans les exploits
GOTHAMKNIGHT	Exploit	Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.100.010.8_pbc_27
HIDDENTEMPLE	Exploit	Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL et qui affecte les pare-feu TOPSEC tournant sur TOS 3.2.8840.1
JETPLOW	Implant	Implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif
JIFFYRAUL	Implant	Module BANANAGLEE pour Cisco PIX
NOPEN	Outil	Outil de post-exploitation shell
PANDAROCK	Outil	Outil pour connecter les implants POLARPAWS
POLARPAWS	Implant	Implant pare-feu pour des constructeurs non déterminés
POLARSNEEZE	Implant	Implant pare-feu pour des constructeurs non déterminés
SCREAMINGPLOW	Implant	Implant Cisco ASA et PIX utilisé pour inséré BANANAGLEE dans le dispositif
SECONDDATE	Outil	Outil d'injection de paquets sur les connexions Wi-Fi et LAN. Utilisé avec BANANAGLEE et BARGLEE
TEFLONDOOR	Outil	Shell de post-exploitation disposant d'une fonction d'autodestruction
TURBOPANDA	Outil	Outil pour connecter les implants HALLUXWATER
WOBBLYLLAMA	Exploit	Charge utile qui peut être livrée via l'exploit ELIGIBLEBOMBSHELL qui affecte les pare-feu TOPSEC tournant sur TOS 3.3.002.030.8_003
XTRACTPLEASING	Outil	Convertit les données en fichiers PCAP
ZESTYLEAK	Implant	Implant pare-feu Juniper NetScreen

Source : blog Kaspersky, Risk Based Security, Mustafa Al-Bassam, Matt Suiche

[Madmac]

Quand on sait comme recrute la NSA recrute les 'black hats", cela me surprendrait pas que le problème soit interne.

[marsupial]

Que pensez-vous de la théorie d’un autre Snowden ?

Cela reste tout à fait plausible et déjà évoqué lors d'autres révélations d'informations. Dans ce cas là, je dirai qu'il n'y en a sans doute pas un seul gars, mais 2 ou 3 ou plus.
Et vu la quantité d'outils utilisés par la NSA, ce ne sera alors sans doute pas la dernière de nos surprises.
En poussant le raisonnement dans cette voie, on pourrait réaliser que rien n'est réellement à l'abri des regards avec toutes les conséquences que cela implique.

[Stéphane le calme]

Shadow Brokers : l'exploit BENIGNCERTAIN, qui était supposé n'affecter que les pare-feu Cisco PIX,
fonctionne également sur des modèles plus récents

En août, un groupe de pirates qui se fait appeler « The Shadow Brokers » a affirmé être parvenu à mettre la main sur des exploits appartenant au groupe « Equation Group », que Kaspersky avait identifié comme étant le « dieu » du cyberespionnage. Sur son site web, The Shadow Brokers a publié un échantillon d’exploits qu’il a pu récupérer, afin de prouver qu’il avait effectivement réussi le piratage.

Parmi ces échantillons figuraient certains comme BENIGNCERTAIN, un outil pour extraire les clés VPN des pare-feu Cisco PIX, les modèles précédents le Cisco ASA. BENIGNCERTAIN exploite une vulnérabilité dans l'implémentation de Cisco de l'Internet Key Exchange (IKE), un protocole qui utilise des certificats numériques pour établir une connexion sécurisée entre deux parties. L'attaque envoie des paquets malveillants à un dispositif PIX vulnérable. Les paquets obligent le dispositif vulnérable à retourner une partie de la mémoire. Un outil d'analyse syntaxique inclus dans l'exploit est alors en mesure d'extraire des données de clés et d'autres configurations prépartagées du VPN sur la réponse.

Suite à cette divulgation, des chercheurs en sécurité se sont laissés aller à des tests pour vérifier que l’exploit fonctionne sur les équipements de Cisco. Mais ils ne se sont arrêtés qu’aux anciennes versions de Cisco PIX étant donné que des indices dans le code source de l’exploit laissaient penser qu’il ne fonctionnerait que sur ces dispositifs.

Pendant ce temps, Cisco a effectué des tests en interne de ce même exploit et a indiqué que certains modèles récents sont vulnérables.

« Une vulnérabilité dans le paquet Internet Key Exchange version 1 (IKEv1) traitant le code dans les logiciels Cisco IOS, Cisco IOS XE et Cisco IOS XR pourrait permettre à un attaquant distant non authentifié de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.

La vulnérabilité est due à l'insuffisance des vérifications de contrôles dans la partie du code qui gère les demandes de négociation de sécurité IKEv1. Un attaquant pourrait exploiter cette vulnérabilité en envoyant un paquet IKEv1 modifié à un périphérique affecté configuré pour accepter les demandes de négociation de sécurité IKEv1. Une exploitation réussie pourrait permettre à l'attaquant de récupérer le contenu de la mémoire, ce qui pourrait conduire à la divulgation d'informations confidentielles.

Cisco publiera des mises à jour de logiciels qui répondent à cette vulnérabilité. Il n'y a aucune solution de contournement qui traite de cette vulnérabilité », indiquait l’équipementier le 16 septembre dernier. Parmi les produits affectés figurent les branches 4.3.x, 5.0.x, 5.1.x et 5.2.x de Cisco iOS XR. Toutes les versions de Cisco iOS XE sont affectées. En attendant de proposer un correctif, l'équipementier invite les administrateurs à mettre en œuvre un système de prévention d'intrusion (IPS) ou un système de détection d'intrusion (IDS) pour aider à détecter et à prévenir les attaques qui tentent d'exploiter cette vulnérabilité. Cisco recommande aux administrateurs de surveiller les systèmes affectés.

Lorsque Shadow Brokers a publié les échantillons de code, Cisco était parmi les premiers équipementiers à fournir des correctifs notamment à des exploits comme EPICBANANA (un exploit pour une élévation de privilège sur Cisco ASA), JETPLOW (un implant Cisco ASA et PIX utilisé pour insérer BANANAGLEE dans le firmware du dispositif) et EXTRABACON (un exploit permettant une exécution à distance de code sur Cisco ASA). D’autres équipementiers ont également fourni des correctifs pour colmater les failles exploitées par les outils.

Mustapha Al-Bassam, l’un des chercheurs qui a participé à la vérification de l’authenticité des exploits publiés par Shadow Brokers, s’est indigné : « la NSA s’est servi d’un exploit zero day pour récupérer à distance les clés VPN de pare-feu Cisco pendant quatorze ans ». Et de réclamer par la suite que « pour changer, nous pouvons fonder un institut national de chercheurs qui trouvent et rapportent des vulnérabilités critiques, au lieu d’en profiter ».

Source : Cisco, tweet Mustapha Al-Bassam

[Michael Guilloux]

Shadow Brokers : la NSA avait oublié son arsenal sur un serveur distant
après une opération d’espionnage il y a trois ans

Qui se cache derrière le piratage des outils d’espionnage de la NSA, y compris des failles de sécurité existantes dans les systèmes de certaines entreprises ? Jusqu’ici, aucun communiqué officiel n’a été fait pour répondre à cette question. Mais d’après le quotidien Reuters, un ancien employé de la NSA aurait par inadvertance donné un coup de main à des pirates. Le comble, l’agence américaine de sécurité nationale savait depuis trois ans que leurs données avaient été exposées et piratées, mais a préféré garder le silence.

Après la fuite qui a été divulguée à la mi-août par un « groupe » de pirates se faisant appeler les Shadow Brokers, la Russie a été immédiatement pointée du doigt, une hypothèse confortée par l’analyse des faits selon Edward Snowden. Fin août, la théorie d’un dénonciateur en interne a été ensuite émise. D’abord avec les analyses de Shlomo Argamon, professeur et directeur du programme de master en sciences de données à l'Illinois Institute of Technology, et ensuite avec les témoignages d’anciens agents de la NSA.

Les analyses linguistiques des messages postés par les Shadow Brokers, par Shlomo Argamon, ont montré que celui ou ceux qui se cachent derrière les Shadow Brokers pourraient être plus proches de la NSA que l’on pourrait le penser et non des attaquants venant de loin comme la Russie. En supposant qu’il s’agit d’une seule et même personne, Argamon est arrivé à la conclusion selon laquelle l’auteur serait un anglophone qui essaierait de se faire passer pour quelqu’un qui n’a pas l’anglais pour langue maternelle, logiquement pour essayer de brouiller les pistes.

D’anciens agents de la NSA ont quant à eux défendu l’hypothèse d’un autre Edward Snowden, étant donné que certains des fichiers qui ont été divulgués étaient accessibles uniquement depuis l’intérieur de la NSA, parce que stockés sur une machine physiquement isolée du réseau de l’agence. Ils seraient donc inaccessibles à toute personne non physiquement présente dans le bâtiment de la NSA.

Alors que l’enquête conduite par le FBI suit son cours, plusieurs sources proches de cette affaire ont révélé séparément au quotidien Reuters qu’un employé de NSA serait bien à l’origine de la fuite, mais pas en tant que dénonciateur comme Edward Snowden. D’après les sources, les responsables de la NSA ont reconnu qu’un agent aurait par mégarde laissé les outils d’espionnage sur un serveur distant il y a trois ans, après une opération dans laquelle l’agence avait elle-même utilisé les outils en question. L’arsenal de cyber espionnage aurait ensuite été découvert par des pirates russes. L’enquête ne dit toutefois pas si ces pirates sont affiliés au gouvernement russe.

D’après les sources de Reuters, l’employé de la NSA qui a commis cette erreur avait reconnu sa faute peu de temps après, mais l’agence n'a pas informé les entreprises du danger quand elle a découvert l'exposition de ses outils. La NSA a préféré se concentrer sur la surveillance du trafic dans le but d’intercepter une éventuelle utilisation des outils piratés par des adversaires étrangers avec de fortes activités de cyber espionnage, comme la Chine ou la Russie. « Cela aurait pu aider [la NSA] à identifier les cibles de piratage des puissances rivales, et les emmener à mieux se défendre. Cela pourrait aussi permettre aux responsables US de voir plus profondément dans les opérations de piratage rivales tout en permettant à la NSA elle-même de continuer à utiliser les outils pour ses propres opérations », rapporte le quotidien Reuters.

La NSA devait donc choisir entre la quantité d’informations précieuses qu’elle pourrait récolter en gardant la menace secrète, et les risques auxquels sont exposés les entreprises et individus alors que des parties adverses tenteront d’exploiter les failles en leur possession. Et comme le montrent les faits, l’agence nationale de sécurité US a préféré laisser les entreprises et organisations exposées, dans le but d’avoir plus d’informations sur les attaques adverses.

Il faut également préciser que l’enquête n’exclut pas le fait que l’employé de la NSA qui a exposé les outils d’espionnage de l’agence l’ait fait de manière délibérée. Ce dernier aurait par la suite quitté l’agence pour d’autres raisons. Les sources révèlent encore que plus d’une personne à la NSA a commis des erreurs similaires.

Source : Reuters

Et vous ?

Qu’en pensez-vous ?