Apparu sur les réseaux sociaux le 13 août 2013, un collectif nommé « The Shadow Brokers » a publié un tweet contenant un lien vers une page Pastebin contenant un message écrit dans un anglais plus qu’approximatif :
Equation Group Cyber Weapons Auction - Invitation
- -----------------------------------------------
!!! Attention government sponsors of cyber warfare and those who profit from it !!!!
How much you pay for enemies cyber weapons? Not malware you find in networks. Both sides, RAT + LP, full state sponsor tool set? We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group. We follow Equation Group traffic. We find Equation Group source range. We hack Equation Group. We find many many Equation Group cyber weapons. You see pictures. We give you some Equation Group files free, you see. This is good proof no? You enjoy!!! You break many things. You find many intrusions. You write many words. But not all, we are auction the best files. .
« Equation group », nom auquel ce message fait référence, est l’un des groupes de hackers les plus sophistiqués encore actif aujourd’hui, leur découverte ayant été annoncée en février 2015 par l’éditeur d’antivirus Kaspersky. De nombreux indices, fiables ou non, laissent à penser que ce groupe est fortement lié au service « Tailored Access Operations » de la NSA, en charge de la surveillance et du renseignement autour des systèmes informatiques. Les outils soi-disant dérobés par les Shadow Brokers proviendraient alors peut-être de la NSA, aucune preuve ne permettant pour l’instant d’aboutir à cette conclusion.
En pièce jointe de ce message se trouve une archive contenant 7 documents, parmi lesquels une archive chiffrée avec le mot de passe « theequationgroup ». Une fois décompressée, celle-ci donne accès à un ensemble de scripts, exécutables et outils dont l’usage sera décrit dans le reste de l’article. Les autres archives présentes sont chiffrées et mises aux enchères par les Shadow Brokers pour un montant de B1.000.000, soit environ $500.000.000.
En attendant la complétion de la cagnotte, des chercheurs en sécurité se sont intéressés aux fichiers publiés dans l’archive publique. Ces derniers ciblent en priorité les équipements de type pare-feu, VPN SSL, etc produits par les sociétés Cisco, Fortinet, Juniper Networks, TOPSEC et WatchGuard. Ils sont répartis en plusieurs catégories :
- Exploits : script permettant d’exploiter une vulnérabilité connue ou une faille 0-day ;
- Implants :outil post-exploitation déposé en mémoire ou dans le firmware ;
- Modules : script venant complémenter un exploit ou un implant ;
- Tools :boîte à outils facilitant l’exploitation des cibles.
Exploit – ELIGIBLE* (TOPSEC)
Sous cette dénomination se trouvent quatre exploits dirigés contre les pare-feu TOS (TOPSEC). Cependant, peu de détails sont fournis quant aux vulnérabilités exactes qui sont exploitées. La liste complète de ces exploits est fournie ci-dessous :ELIGIBLEBACHELOR
- Vecteur d’attaque : inconnu (probablement dans l’entête XML TOS)
- Versions affectées : 3.2.100.010, 3.3.001.050, 3.3.002.021 et 3.3.002.030
ELIGIBLEBOMBSHELL
- Vecteur d’attaque : exécution de code via un cookie HTTP
- Versions affectées : de 3.2.100.010.1_pbc_17_iv_3 à 3.3.005.066.1
ELIGIBLECANDIDATE
- Vecteur d’attaque : exécution de code via un cookie HTTP
- Versions affectées : de 3.3.005.057.1 à 3.3.010.024.1
ELIGIBLECONTESTANT
- Vecteur d’attaque : exécution de code via un paramètre POST
- Versions affectées : de 3.3.005.057.1 à 3.3.010.024.1
Le schéma complet des dépendances de ces exploits est le suivant :
Exploit – EGREGIOUSBLUNDER (Fortinet)
EGREGIOUSBLUNDER exploite une vulnérabilité de type « exécution de code à distance » dans les pare-feu Fortigate (Fortinet), via un dépassement de tampon dans les cookies HTTP. Aucun détail supplémentaire n’est pour l’instant fourni sur cet exploit en dehors des points suivants :- Les modèles impactés comprennent : 60, 60M, 80C, 200A, 300A, 400A, 500A, 620B, 800, 5000, 1000A, 3600 et 3600A ;
- EGREGIOUSBLUNDER peut se servir de l’implant BLATSTING (également utilisé par ELIGIBLEBACHELOR, TOPSEC) dont le rôle n’est pas connu.
Exploit – EPICBANANA (Cisco)
L’exploit EPICBANANA repose sur une vulnérabilité corrigée en 2011 par Cisco et affecte les équipements ASA. Elle permet à un attaquant authentifié sur le système (Telnet ou SSH) de causer un déni de service de l’équipement, voire potentiellement d’exécuter du code arbitraire (non prouvé à ce jour).La criticité de cette vulnérabilité avait été classée à « moyenne » par Cisco lors de la découverte initiale en raison des prérequis nécessaires à son exploitation.
Exploit – EXTRABACON (Cisco)
EXTRABACON est un exploit ciblant une vulnérabilité de type « dépassement de tampon » dans la gestion du protocole SNMP des équipements Cisco ASA. La vulnérabilité est disponible sous le code CVE-2016-6366.L’exploit se présente sous la forme d’un script Python prenant en paramètre :
- Le nom de la communauté SNMP utilisée par l’équipement ;
- Le mode d’opération :
- « pass-disable » : désactive l’authentification sur l’équipement ;
- « pass-enable » : réactive l’authentification sur l’équipement.
Bien que l’exploit ne semble pas très stable et puisse faire crasher l’équipement cible, certains (dont l’internaute XORCat) ont montré que ce dernier était fiable :
Un patch pour cette vulnérabilité a été publié par Cisco le 24 août 2016.
Exploit – BENIGNCERTAIN (Cisco)
L’exploit BENIGNCERTAIN cible les équipements Cisco PIX, aujourd’hui qualifiés en fin de vie (EoL) et fin de support (EoS), et permet à un attaquant, entre autres, de récupérer les clés privées présentes sur l’équipement ainsi que les mots de passe qui s’y trouveraient.Plusieurs internautes (dont Mustafa Al-Bassam, à l’origine de l’analyse de l’archive publique, et @int10h) ont confirmé que l’exploit était fonctionnel et lui ont donné le nom de PixPocket :
L’exploit se présente sous la forme de plusieurs fichiers exécutables accompagnés d’une collection de charges malveillantes :
L’attaquant utilise tout d’abord le fichier « bc-genpkt» qui génère un paquet malveillant de type IKE (Internet Key Exchange), protocole utilisé lors de la mise en place de tunnels IPSec. Ce paquet est ensuite fourni en entrée au fichier « bc-id » qui envoie le paquet à destination de la cible de l’attaque et fourni un dump. Ce dernier doit enfin être analysé à l’aide de « bc-parser» pour récupérer les informations sensibles :
Exploit – ESCALATEPLOWMAN (WatchGuard)
L’exploit ESCALATEPLOWMAN est un script Python, destiné à exploiter une vulnérabilité de type « injection de commandes » sur les systèmes vendus par RapidStream, une société rachetée par WatchGuard en 2002.La cible de l’exploit est la ligne de commande de debug, spécifique au système cible, qui peut être exploitée dans sa gestion de la commande « ifconfig ». Cette dernière permet alors à un attaquant de récupérer et d’exécuter un fichier depuis Internet.
L’éditeur WatchGuard a tenu à préciser que seuls les équipements RapidStream, de par la localisation des exécutables sur le disque d’une part, et des commandes proposées par la ligne de commande d’autre part, sont vulnérables à cette attaque.
Implants – BANANAGLEE / ZESTYLEAK (Cisco, Juniper)
Encore une fois, assez peu d’informations sont disponibles sur les implants BANANAGLEE et ZESTYLEAK, si ce n’est que :- BANANAGLEE semble être spécifique à Cisco et ZESTYLEAK à Juniper NetScreen ;
- BANANAGLEE et ZESTYLEAK sont des implants en mémoire et ne persistent pas après un redémarrage ;
- Les outils JETPLOW, SCREAMINGPLOW et FEEDTHROUGH peuvent être utilisés pour écrire les implants cités ci-dessus dans le firmware des équipements afin de les rendre persistants.
Un graphe complet des dépendances de ces deux implants est disponible ci-dessous :
Ce qu’il faut retenir
Ce n’est malheureusement pas la première fois que des exploits publics permettent de prendre le contrôle d’appliances réseau. Dans le cas présent, il n’existe pour certaines de ces vulnérabilités aucun correctif de sécurité, et les pare-feu sont parfois le seul rempart protégeant des équipements vulénrables.On peut se rassurer par le fait que la plupart de ces exploits nécessitent pour être fonctionnels un accès réseau à des interfaces de supervision ou d’administration. Les bonnes pratiques de sécurité s’appliquent encore, à savoir : tenir les équipements vulnérables à jour, durcir la configuration des composants (dans ce cas, celle du SNMP) et évidemment l’utiliser d’un réseau dédié à l’administration des équipements.