La semaine dernière, Kaspersky Lab a évoqué l'existence d'un bot à la recherche de commutateurs réseau Cisco via le moteur de recherche Shodan (pour les appareils connectés à Internet). Son but est de trouver des switchs vulnérables (essentiellement dans des data centers) et d'y exploiter un problème en rapport avec l'utilitaire Cisco Smart Install Client.

L'exploitation permet une exécution de code arbitraire avec réécriture de l'image Cisco IOS sur le commutateur réseau et la modification du fichier de configuration. Le switch devient indisponible après l'affichage d'un message : " Don't mess with our elections " (Ne jouez pas avec nos élections), ainsi qu'un drapeau des États-Unis en ASCII art.

switch-cisco-config
Jeudi, l'équipe Cisco Talos avait identifié plus de 168 000 systèmes potentiellement exposés via le Cisco Smart Install Client. Un nombre qui a largement diminué depuis. Dans un billet de blog, Cisco Talos a détaillé une commande " show vstack config " pour les administrateurs système afin de vérifier l'exécution éventuelle de Smart Install, et le cas échéant une désactivation avec " no vstack ".

Selon Motherboard, un groupe de hackers a spécifiquement attaqué des infrastructures informatiques en Russie et en Iran. Ce groupe aurait par contre épargné des systèmes vulnérables découverts aux États-Unis, Canada et Royaume-Uni, allant même jusqu'à corriger le problème pour empêcher d'autres attaques.

" Nous en avions assez des attaques de hackers soutenus par des gouvernements visant les États-Unis et d'autres pays ", a répondu un représentant du groupe.

D'après Reuters, qui cite une agence de presse officielle en Iran, le ministère iranien des Technologies de l'information a comptabilisé 3 500 appareils touchés par l'attaque dans le pays. Elle aurait été neutralisée en quelques heures, et sans perte de données.