Responsables de la sécurité des systèmes d’information dans les télécoms, vérifiez à nouveau vos équipements réseau Cisco ! L’entreprise de cybersécurité Recorded Future vient en effet d’alerter sur une nouvelle campagne en cours des pirates de Salt Typhoon, dénommés “Red Mike” par l’entreprise.
Selon la firme, les hackers de ce groupe accusé d’avoir piraté depuis la Chine de nombreux opérateurs américains se seraient attaqués depuis le mois de décembre à de nouvelles cibles. En exploitant cette fois des vulnérabilités dans les périphériques réseau du célèbre équipementier américain.
Ils seraient ainsi passés par la vulnérabilité CVE-2023-20198 pour s’introduire dans le logiciel Cisco IOS XE. Puis ils auraient utilisé la vulnérabilité CVE-2023-20273 pour obtenir un contrôle total. Des failles déjà bien connues. Elles avaient été en effet signalées comme particulièrement critiques dans le dernier panorama de la menace de l’Anssi, en début d’année 2024.
Alerte de l’Anssi
“Ces vulnérabilités permettent à un attaquant non authentifié de créer un utilisateur disposant de privilèges élevés, rappelait le cyber-pompier. Activement exploitées par des attaquants, elles donnaient donc accès à l’ensemble des commandes et à la possibilité de modifier la configuration de l’équipement vulnérable, ce qui correspond à en prendre le contrôle complet.”
Et l’Anssi de préciser alors que “tous les équipements exposant l’interface de gestion Web d’IOS XE” devaient “être considérés comme compromis”. “L’application seule des correctifs” n’était, rappelait l’agence, “pas suffisante pour expulser l’attaquant”.
Une arme fatale bien connue activement exploitée donc par les pirates de Salt Typhoon ces dernières semaines. Ils ont ainsi hacké la filiale américaine d’un fournisseur de télécommunications basé au Royaume-Uni, une entreprise similaire d’Afrique du Sud ou encore un fournisseur d’accès à internet italien, selon Recorded Future.
Compromissions autour de l’industrie des télécoms
On retrouverait également dans les victimes – en tout plus d’un millier de périphériques réseau ont été visés, sur 12 000 vulnérables, principalement aux États-Unis, en Amérique du Sud et en Inde – des universités de différents pays du globe. Des cibles peut-être choisies à cause de leurs recherches dans les télécommunications. Aucune organisation française n’est citée pour le moment.
Cet automne, la Cisa américaine, l’équivalent de l’Anssi, et le FBI, le célèbre bureau d’investigations judiciaires, avaient accusé la Chine d’être derrière une campagne de cyberespionnage “de grande envergure” attribuée à Salt Typhoon, un groupe actif depuis au moins 2019.
La manœuvre visait notamment le vol de communications de personnes mises sous surveillance par la justice américaine. Une alerte suivie d’un coup de bâton à la mi-janvier. Le trésor américain avait alors sanctionné une entreprise, la Sichuan Juxinhe Network Technology, accusée d’être impliquée dans “Salt Typhoon”.