Des pirates informatiques parrainés par l’État chinois ciblent une vulnérabilité du protocole de découverte Cisco qui a été révélée plus tôt cette année, ont révélé mardi le géant des réseaux et l’Agence américaine de sécurité nationale.

Un avis publié mardi par la NSA répertorie 25 vulnérabilités qui ont été exploitées ou ciblées par des acteurs menaçants censés être parrainés par Pékin. La liste comprend plusieurs vulnérabilités dont on ne savait pas qu’elles avaient été ciblées, notamment CVE-2020-3118, qui a un impact sur les produits Cisco.

CVE-2020-3118 est l’une des cinq vulnérabilités dans l’implémentation du Cisco Discovery Protocol (CDP) du logiciel IOS XR qui ont été révélées en février par la société de sécurité IoT Armis. La société a signalé à l’époque que les failles, collectivement suivies sous le nom de CDPwn, affectaient des dizaines de millions de périphériques Cisco déployés dans des environnements d’entreprise, notamment des téléphones IP, des commutateurs, des routeurs et des caméras.

Tout comme la NSA a émis son avertissement sur les vulnérabilités ciblées par les pirates chinois, Cisco a mis à jour son avis pour informer les clients qu’il a reçu des rapports plus tôt ce mois-ci selon lesquels des attaquants tentaient d’exploiter CVE-2020-3118 dans la nature. La société a conseillé aux clients d’installer les correctifs IOS XR disponibles.

Bien que l’on ne sache pas quel acteur chinois de la menace a ciblé la faille, le groupe suivi sous le nom d’APT41 est connu pour avoir exploité les vulnérabilités des produits Cisco dans ses attaques.

La vulnérabilité de haute gravité peut être exploitée sans authentification pour l’exécution de code arbitraire avec des privilèges d’administrateur et des attaques par déni de service (DoS), mais l’attaquant doit avoir un accès réseau au périphérique ciblé. Plus précisément, selon Cisco, ils doivent être sur le même domaine de diffusion que le système affecté.

Lorsqu’il a révélé les vulnérabilités du CDPwn, Armis a averti qu’ils pourraient permettre à un attaquant de passer d’un segment de réseau à un autre, d’intercepter le trafic réseau et de s’exfiltrer …

Voir la source de cette publication