Twitter
Twitter
Facebook
Kaspersky Partner
Twitter
Facebook
Kaspersky Partner

Conseils

CERTFR-2018-ACT-007 – L’exploitation d’équipements réseau, tels que les routeurs et les commutateurs par des acteurs malveillants


vendredi 20 avril 2018

1. Des publications récentes mettent en lumière des campagnes d’attaques ciblant spécifiquement les équipements réseau

  • L’exploitation d’équipements réseau, tels que les routeurs et les commutateurs par des acteurs malveillants est au centre de plusieurs publications récentes diffusées par des éditeurs de solutions de sécurité et par des agences nationales de sécurité des systèmes d’information.
    …/…

2. Les équipements réseau constituent des cibles d’intérêt

  • La faible sécurisation intrinsèque et la sévérité des actions malveillantes possibles suite à leur compromission font des équipements réseau, comme les routeurs et les commutateurs, des cibles privilégiées des attaquants.
    …/…

3. Des vulnérabilités inhérentes à des protocoles ou à des services obsolètes sont exploitées par les groupes d’attaquants

  • Les groupes d’attaquants ciblent régulièrement des équipements réseaux exposant sur Internet des services insuffisamment sécurisés et utilisant des protocoles connus pour être vulnérables à toute une série d’attaques.
    …/…

    • 3.1 SNMPv2
      SNMP est un protocole réseau qui permet aux administrateurs de récupérer des informations concernant l’état d’un équipement réseau (accès en lecture), ou de configurer un équipement réseau depuis un serveur de gestion (accès en écriture). La version 2 du protocole utilise comme jeton d’authentification un « nom de communauté » (équivalent à un mot de passe), dont la validation permet sous certaines conditions d’exécuter des actions de supervision ou de configuration.
      …/…
    • 3.2 CISCO Smart Install
      La fonctionnalité Cisco Smart Install permet le déploiement et la configuration automatique d’un commutateur selon un mode « prêt à l’emploi » (plug and play). Lors de la mise en service d’un appareil, celui-ci pourra alors récupérer automatiquement sa configuration auprès d’un équipement accessible par le réseau en utilisant le protocole TFTP.
      …/…
    • 3.3 UPnP
      Le protocole UPnP a pour but de faciliter l’échange d’informations entre les différents équipements réseau. En particulier, il permet de signaler les ressources partagées ou mises à disposition sur un réseau. Le support de ce protocole est souvent activé par défaut dans les équipements « communiquant » comme des imprimantes en réseau, des NAS (espace de stockage en réseau) ou bien encore des routeurs.
      …/…
    • 3.4 TFTP
      Le protocole TFTP permet l’envoi et la réception de fichiers de manière simple. Il est régulièrement utilisé afin de centraliser le stockage des configurations et des images de démarrage (PXE) qui serviront à configurer toute une série d’équipements, des routeurs aux postes bureautiques en passant par les serveurs.
      …/…
    • 3.5 Interfaces d’administration
      Telnet est un protocole d’administration d’équipements ou de serveurs à distance de type ligne de commande interactive. La configuration par défaut de nombreux équipements active ce protocole qui est par conséquent encore largement utilisé. À titre d’illustration, le moteur de recherche shodan indique au 19 avril 2018 qu’environ 1800 équipements possédant une « IP française » exposent un service Telnet sur internet.
      …/…

4. L’ANSSI recommande la mise en place de mesures de durcissement des équipements réseau.

  • Les protocoles et services présentés sont connus pour être exploités par une série d’acteurs malveillants qui cherchent à profiter du positionnement stratégique des équipements réseau dans une infrastructure depuis des années.
    …/…

5. Des indicateurs de compromissions permettent de mettre en lumière une activité malveillante

En complément des recommandations sur le durcissement, quelques éléments permettent de détecter une activité suspecte :

  • présence de communications encapsulées dans des tunnels GRE ayant pour source ou destination un routeur ;
  • présence de communications TFTP illégitimes émises depuis un routeur ;
  • plus globalement, présence d’un trafic ne traversant pas le routeur mais émis vers et depuis le routeur ;
  • présence de commandes d’administration illégitimes (modification de configuration, mises à jour suspectes, etc.).
  • …/…

Lire l’intégralité de l’article sur :

CERTFR-2018-ACT-007 – L’exploitation d’équipements réseau, tels que les routeurs et les commutateurs par des acteurs malveillants

1. Des publications récentes mettent en lumière des campagnes d’attaques ciblant spécifiquement les équipements réseau

  • L’exploitation d’équipements réseau, tels que les routeurs et les commutateurs par des acteurs malveillants est au centre de plusieurs publications récentes diffusées par des éditeurs de solutions de sécurité et par des agences nationales de sécurité des systèmes d’information.
    …/…

2. Les équipements réseau constituent des cibles d’intérêt

  • La faible sécurisation intrinsèque et la sévérité des actions malveillantes possibles suite à leur compromission font des équipements réseau, comme les routeurs et les commutateurs, des cibles privilégiées des attaquants.
    …/…

3. Des vulnérabilités inhérentes à des protocoles ou à des services obsolètes sont exploitées par les groupes d’attaquants

  • Les groupes d’attaquants ciblent régulièrement des équipements réseaux exposant sur Internet des services insuffisamment sécurisés et utilisant des protocoles connus pour être vulnérables à toute une série d’attaques.
    …/…

    • 3.1 SNMPv2
      SNMP est un protocole réseau qui permet aux administrateurs de récupérer des informations concernant l’état d’un équipement réseau (accès en lecture), ou de configurer un équipement réseau depuis un serveur de gestion (accès en écriture). La version 2 du protocole utilise comme jeton d’authentification un « nom de communauté » (équivalent à un mot de passe), dont la validation permet sous certaines conditions d’exécuter des actions de supervision ou de configuration.
      …/…
    • 3.2 CISCO Smart Install
      La fonctionnalité Cisco Smart Install permet le déploiement et la configuration automatique d’un commutateur selon un mode « prêt à l’emploi » (plug and play). Lors de la mise en service d’un appareil, celui-ci pourra alors récupérer automatiquement sa configuration auprès d’un équipement accessible par le réseau en utilisant le protocole TFTP.
      …/…
    • 3.3 UPnP
      Le protocole UPnP a pour but de faciliter l’échange d’informations entre les différents équipements réseau. En particulier, il permet de signaler les ressources partagées ou mises à disposition sur un réseau. Le support de ce protocole est souvent activé par défaut dans les équipements « communiquant » comme des imprimantes en réseau, des NAS (espace de stockage en réseau) ou bien encore des routeurs.
      …/…
    • 3.4 TFTP
      Le protocole TFTP permet l’envoi et la réception de fichiers de manière simple. Il est régulièrement utilisé afin de centraliser le stockage des configurations et des images de démarrage (PXE) qui serviront à configurer toute une série d’équipements, des routeurs aux postes bureautiques en passant par les serveurs.
      …/…
    • 3.5 Interfaces d’administration
      Telnet est un protocole d’administration d’équipements ou de serveurs à distance de type ligne de commande interactive. La configuration par défaut de nombreux équipements active ce protocole qui est par conséquent encore largement utilisé. À titre d’illustration, le moteur de recherche shodan indique au 19 avril 2018 qu’environ 1800 équipements possédant une « IP française » exposent un service Telnet sur internet.
      …/…

4. L’ANSSI recommande la mise en place de mesures de durcissement des équipements réseau.

  • Les protocoles et services présentés sont connus pour être exploités par une série d’acteurs malveillants qui cherchent à profiter du positionnement stratégique des équipements réseau dans une infrastructure depuis des années.
    …/…

5. Des indicateurs de compromissions permettent de mettre en lumière une activité malveillante

En complément des recommandations sur le durcissement, quelques éléments permettent de détecter une activité suspecte :

  • présence de communications encapsulées dans des tunnels GRE ayant pour source ou destination un routeur ;
  • présence de communications TFTP illégitimes émises depuis un routeur ;
  • plus globalement, présence d’un trafic ne traversant pas le routeur mais émis vers et depuis le routeur ;
  • présence de commandes d’administration illégitimes (modification de configuration, mises à jour suspectes, etc.).
  • …/…

Lire l’intégralité de l’article sur :

CERTFR-2018-ACT-007 – L’exploitation d’équipements réseau, tels que les routeurs et les commutateurs par des acteurs malveillants

1. Des publications récentes mettent en lumière des campagnes d’attaques ciblant spécifiquement les équipements réseau

  • L’exploitation d’équipements réseau, tels que les routeurs et les commutateurs par des acteurs malveillants est au centre de plusieurs publications récentes diffusées par des éditeurs de solutions de sécurité et par des agences nationales de sécurité des systèmes d’information.
    …/…

2. Les équipements réseau constituent des cibles d’intérêt

  • La faible sécurisation intrinsèque et la sévérité des actions malveillantes possibles suite à leur compromission font des équipements réseau, comme les routeurs et les commutateurs, des cibles privilégiées des attaquants.
    …/…

3. Des vulnérabilités inhérentes à des protocoles ou à des services obsolètes sont exploitées par les groupes d’attaquants

  • Les groupes d’attaquants ciblent régulièrement des équipements réseaux exposant sur Internet des services insuffisamment sécurisés et utilisant des protocoles connus pour être vulnérables à toute une série d’attaques.
    …/…

    • 3.1 SNMPv2
      SNMP est un protocole réseau qui permet aux administrateurs de récupérer des informations concernant l’état d’un équipement réseau (accès en lecture), ou de configurer un équipement réseau depuis un serveur de gestion (accès en écriture). La version 2 du protocole utilise comme jeton d’authentification un « nom de communauté » (équivalent à un mot de passe), dont la validation permet sous certaines conditions d’exécuter des actions de supervision ou de configuration.
      …/…
    • 3.2 CISCO Smart Install
      La fonctionnalité Cisco Smart Install permet le déploiement et la configuration automatique d’un commutateur selon un mode « prêt à l’emploi » (plug and play). Lors de la mise en service d’un appareil, celui-ci pourra alors récupérer automatiquement sa configuration auprès d’un équipement accessible par le réseau en utilisant le protocole TFTP.
      …/…
    • 3.3 UPnP
      Le protocole UPnP a pour but de faciliter l’échange d’informations entre les différents équipements réseau. En particulier, il permet de signaler les ressources partagées ou mises à disposition sur un réseau. Le support de ce protocole est souvent activé par défaut dans les équipements « communiquant » comme des imprimantes en réseau, des NAS (espace de stockage en réseau) ou bien encore des routeurs.
      …/…
    • 3.4 TFTP
      Le protocole TFTP permet l’envoi et la réception de fichiers de manière simple. Il est régulièrement utilisé afin de centraliser le stockage des configurations et des images de démarrage (PXE) qui serviront à configurer toute une série d’équipements, des routeurs aux postes bureautiques en passant par les serveurs.
      …/…
    • 3.5 Interfaces d’administration
      Telnet est un protocole d’administration d’équipements ou de serveurs à distance de type ligne de commande interactive. La configuration par défaut de nombreux équipements active ce protocole qui est par conséquent encore largement utilisé. À titre d’illustration, le moteur de recherche shodan indique au 19 avril 2018 qu’environ 1800 équipements possédant une « IP française » exposent un service Telnet sur internet.
      …/…

4. L’ANSSI recommande la mise en place de mesures de durcissement des équipements réseau.

  • Les protocoles et services présentés sont connus pour être exploités par une série d’acteurs malveillants qui cherchent à profiter du positionnement stratégique des équipements réseau dans une infrastructure depuis des années.
    …/…

5. Des indicateurs de compromissions permettent de mettre en lumière une activité malveillante

En complément des recommandations sur le durcissement, quelques éléments permettent de détecter une activité suspecte :

  • présence de communications encapsulées dans des tunnels GRE ayant pour source ou destination un routeur ;
  • présence de communications TFTP illégitimes émises depuis un routeur ;
  • plus globalement, présence d’un trafic ne traversant pas le routeur mais émis vers et depuis le routeur ;
  • présence de commandes d’administration illégitimes (modification de configuration, mises à jour suspectes, etc.).
  • …/…

Lire l’intégralité de l’article sur :