Les hackers du gouvernement chinois continuent de s’en prendre aux entreprises occidentales. Ce sont les équipements réseaux de Cisco qui sont ciblés cette fois-ci, au travers d’une fonctionnalité de contrôle des spam par email.
Cisco a publié une alerte critique mercredi 17 décembre concernant certains de ses équipements réseaux. Ils sont sous le coup d’une campagne de cyberattaque qui profite de certains ports ouverts pour faire tourner Cisco Secure Email and Web Manager ainsi que Cisco AsyncOS Software for Cisco Secure Email Gateway.
Les malfaiteurs profitent d’une vulnérabilité dans la fonctionnalité “Spam Quarantine” pour exécuter des commandes avec un accès root sur le système d’exploitation des équipements concernés, et Cisco indique avoir détecté des mesures permettant aux hackers de conserver un accès longue durée chez certaines des victimes.
Pour que les équipements soient vulnérables, il faut que “Span Quarantine” soit activée (elle ne l’est pas par défaut) et qu’elle puisse être accessible depuis Internet (ce n’est pas nécessaire à son fonctionnement). Si ces conditions sont assez spécifiques, la vulnérabilité touche toutes les versions d’AsyncOS Software. De plus, aucun patch n’est disponible à date.
Cisco recommande lorsqu’un équipement est potentiellement à risque de restaurer sa configuration d’usine au plus vite. Le fournisseur a détecté cette vague d’attaques le 10 décembre, mais n’est pas en mesure de déterminer depuis quand elle est en vigueur (“au moins depuis novembre”), ni combien de clients ont pu être touchés jusqu’à présent. En revanche, les équipes de Cisco Talos disent avoir identifié l’affiliation de ces cybercriminels au régime chinois.
