Résumé

  • Constat public confirmé:Cisco a divulgué l'exploitation active de la fonctionnalité d'interface Web du logiciel IOS XE et a déterminé ultérieurement que les attaquants avaient exploité deux problèmes jusqu'alors inconnus: CVE-2023-20198 pour l'accès initial et la création d'un compte avec le privilège 15, suivi de CVE-2023-20273 pour élever les privilèges à root et écrire un implant sur le système de fichiers. (Avis de sécurité Cisco)
  • Consignes gouvernementales:Selon la CISA, les deux vulnérabilités affectaient l'interface Web d'IOS XE et pouvaient permettre à un acteur distant non authentifié de prendre le contrôle d'un système affecté; la CISA a exhorté les organisations à désactiver la fonctionnalité HTTP Server sur les systèmes exposés à Internet, à rechercher toute activité malveillante et à effectuer une mise à niveau vers des versions logicielles corrigées dès leur disponibilité. (Guide de la CISA)
  • Problème lié au plan de gestion:Le dossier public étaye une défaillance de la surface de contrôle impliquant l'exposition de la gestion Web, la création de comptes, l'injection de commandes et l'implantation. Il n'étaye pas une affirmation générale selon laquelle chaque périphérique IOS XE aurait été affecté, que chaque périphérique exposé aurait été compromis, ou que Cisco contrôlait à lui seul l'exposition Internet de chaque client.
  • Évaluation:Les attaquants contrôlaient l'exploitation. Cisco contrôlait le code du produit, le contenu de l'avis, la mise à disposition des correctifs, les consignes de durcissement et le support de détection. Les clients, les fournisseurs de services managés (MSP) et les agences publiques contrôlaient l'exposition, l'inventaire, la configuration, la segmentation, la surveillance et la discipline de récupération. L'événement a transformé « l'interface Web est-elle activée sur Internet? » en une question de continuité au niveau du conseil d'administration.

Le périphérique réseau était le point de contrôle, pas simplement un autre serveur

L'incident de l'interface Web d'IOS XE de Cisco est important parce qu'un routeur, un commutateur ou un contrôleur sans fil n'est pas qu'une simple charge de travail. C'est un point de contrôle pour d'autres charges de travail. Un périphérique réseau compromis peut se trouver sur le chemin de l'authentification, du routage du trafic, de la segmentation, de la connectivité des sites distants, de l'accès sans fil, de la voix, de la surveillance et de la réponse aux incidents elle-même. Lorsque la compromission du plan de gestion atteint un tel périphérique, la question de la récupération n'est pas seulement de savoir si la CVE a été corrigée.

Il s'agit de savoir si l'on peut encore faire confiance au périphérique pour décrire, appliquer et protéger le réseau qui l'entoure.

L'avis de Cisco a situé l'événement dans la fonctionnalité d'interface Web du logiciel IOS XE et a clairement indiqué que la chaîne d'attaque impliquait une exploitation active. L'attaquant a d'abord utilisé CVE-2023-20198 pour obtenir un accès initial et exécuter une commande de privilège 15 afin de créer une combinaison d'utilisateur local et de mot de passe. L'attaquant a ensuite exploité un autre composant de la fonctionnalité d'interface Web, CVE-2023-20273, en utilisant l'utilisateur local nouvellement créé pour élever le privilège à root et écrire l'implant sur le système de fichiers. Cisco a attribué un score CVSS de 10,0 à CVE-2023-20198 et de 7,2 à CVE-2023-20273. (Avis de sécurité Cisco)

Les conseils publics de la CISA ont traduit les mêmes faits en urgence opérationnelle. La CISA a décrit une exploitation active et généralisée de CVE-2023-20198 et CVE-2023-20273 affectant l'interface Web du logiciel IOS XE de Cisco, a indiqué qu'un acteur distant non authentifié pouvait exploiter les vulnérabilités pour prendre le contrôle d'un système affecté, et a demandé aux organisations exécutant l'interface Web d'IOS XE de mettre en œuvre les mesures d'atténuation de Cisco, y compris la désactivation de la fonctionnalité HTTP Server sur les systèmes exposés à Internet, et de rechercher toute activité malveillante. (Guide de la CISA)

L'aspect du plan de gestion fait la différence entre une histoire de vulnérabilité et une histoire de responsabilité. Une faille applicative dans un serveur Web ordinaire peut être grave; une faille dans une interface de gestion pour des périphériques qui acheminent les paquets et appliquent les politiques est un risque pour le plan de contrôle. L'attaquant ne se contente pas de voler des données à une seule application. Il peut obtenir une position à partir de laquelle il peut observer, modifier, persister ou préparer d'autres accès à l'encontre des machines de confiance du réseau.

Cela ne signifie pas que chaque périphérique affecté a été utilisé pour l'interception du trafic ou une action destructrice. Le dossier public principal ne soutient pas une affirmation aussi universelle. Cisco et la CISA ont documenté la création de comptes, l'élévation des privilèges à root et l'écriture d'implants comme schéma d'exploitation. La question responsable est de savoir ce que cet accès pourrait signifier et quelles preuves sont nécessaires pour qu'un opérateur puisse à nouveau considérer le périphérique comme digne de confiance.

Pour de nombreuses organisations, en particulier les PME et les organismes publics aux équipes réseau réduites, les interfaces de gestion sont historiquement des commodités pratiques. L'administration via interface Web peut faciliter la configuration à distance. Les MSP peuvent l'utiliser pour le support client. Les équipes de sites distants peuvent la laisser accessible après le déploiement. Un contrôle qui commence comme une commodité peut devenir une surface d'attaque exposée à Internet si l'exposition n'est pas continuellement inventoriée et restreinte.

Cisco a divulgué la chaîne alors que l'histoire des correctifs était encore en cours

La chronologie publique est importante, car l'exploitation, les mesures d'atténuation et les versions corrigées ne sont pas arrivées en un seul paquet ordonné. Cisco a d'abord mis en garde contre une exploitation active et recommandé des mesures défensives, notamment la désactivation de la fonctionnalité HTTP Server sur les systèmes exposés à Internet. Les mises à jour ultérieures de l'avis ont ajouté la deuxième CVE, les informations sur les versions corrigées et un outil de vérification logicielle. La page de la CISA a été mise à jour avec la disponibilité des versions corrigées pour plusieurs trains d'IOS XE et a renvoyé les opérateurs vers l'avis et la documentation des correctifs de Cisco. (Avis Cisco,Guide de la CISA)

Cette séquence a créé une fenêtre de responsabilité pratique. Lorsque l'exploitation est active et que la matrice complète des correctifs est encore en cours d'assemblage, le fardeau de l'atténuation se déplace nettement vers la réduction de l'exposition et la détection. Les opérateurs ne peuvent pas attendre un plan de correctifs parfait si l'interface de gestion est accessible.

Ils doivent désactiver ou restreindre la fonctionnalité de serveur HTTP/HTTPS sur les systèmes exposés à Internet, rechercher les utilisateurs nouvellement créés ou inexpliqués, examiner les indicateurs, préserver les preuves et décider si un périphérique est potentiellement compromis.

Le document de disponibilité des correctifs logiciels de Cisco a ultérieurement donné aux opérateurs un moyen plus concret de faire correspondre l'ID de bogue CSCwh87343 avec les versions corrigées d'IOS XE. La mise à jour du 1er novembre de la CISA a répertorié les versions corrigées pour les trains de versions, y compris 17.9, 17.6, 17.3 et 16.12 pour certains périphériques Catalyst 3650 et 3850. La distinction est importante: pendant la première fenêtre d'exploitation, le contrôle le plus important pouvait être « fermez l'exposition du plan de gestion maintenant ». Après l'existence de versions corrigées, le contrôle devient « mettez à niveau, vérifiez, recherchez et récupérez ». (Disponibilité des correctifs Cisco,Outil de vérification logicielle Cisco)

Les entrées de la National Vulnerability Database (NVD) et les enregistrements CVE fournissent des ancres publiques supplémentaires pour les vulnérabilités. La page NVD pour CVE-2023-20198 renvoie à l'avis de Cisco et décrit le contexte d'exploitation active. Les enregistrements sur CVE.org conservent les identifiants de vulnérabilité dans le cadre du dossier public des vulnérabilités. (NVD CVE-2023-20198,NVD CVE-2023-20273,Enregistrement CVE CVE-2023-20198,Enregistrement CVE CVE-2023-20273)

La chaîne montre également pourquoi le CVSS seul est insuffisant pour la gouvernance. Un score de 10,0 pour CVE-2023-20198 signale une gravité technique, mais le risque opérationnel varie en fonction de l'exposition, du rôle et de la capacité de récupération. Un routeur de succursale exposé à Internet avec une journalisation faible et aucune image propre connue crée un problème opérationnel différent de celui d'un périphérique de laboratoire interne protégé par des contrôles VPN de gestion. La gravité indique aux dirigeants qu'il faut être attentif.

Les preuves d'inventaire et d'exposition indiquent aux dirigeants ce qu'il faut faire en premier.

L'exposition à Internet a été le multiplicateur de conséquences

La variable la plus importante contrôlée par l'opérateur était de savoir si la surface de gestion de l'interface Web était accessible depuis Internet. Les formulations de Cisco et de la CISA pour l'atténuation étaient centrées sur la désactivation de la fonctionnalité HTTP Server sur les systèmes exposés à Internet. Les conseils de durcissement de Cisco sont conformes à ce contrôle: les documents de durcissement d'IOS et d'IOS XE de Cisco indiquent que le serveur HTTP peut être désactivé avecno ip http serveret que le serveur HTTP sécurisé peut être désactivé avecno ip http secure-server. (Guide de durcissement du logiciel Cisco IOS XE,Guide Cisco pour le durcissement des périphériques Cisco IOS)

Il ne s'agit pas d'un nouveau principe de sécurité. Les interfaces de gestion ne devraient pas être largement exposées à Internet, sauf s'il existe une raison solide, surveillée, restreinte et documentée. La directive opérationnelle contraignante 23-02 de la CISA sur les interfaces de gestion exposées à Internet a ordonné aux agences civiles fédérales de réduire le risque lié aux interfaces de gestion exposées, et ses recommandations ont une portée plus large en dehors du périmètre fédéral. (CISA BOD 23-02)

Le problème est que les réseaux réels accumulent des exceptions. Un périphérique déployé lors d'une fusion conserve d'anciennes règles d'accès. Un MSP ouvre un chemin de gestion pour un dépannage urgent et ne le referme jamais. Un bureau distant hérite d'un modèle avec le HTTP activé. Une adresse IP publique change de propriétaire. Une règle de pare-feu destinée à une migration temporaire devient permanente. L'interface Web n'est pas nécessairement exposée parce qu'un ingénieur a pris une décision imprudente.

Elle peut l'être parce que l'inventaire des actifs, le contrôle des changements et le transfert de services gérés n'ont pas réussi à suivre l'historique du réseau.

Cet historique est important pour le blâme. Cisco contrôlait l'existence de la vulnérabilité du produit et la rapidité avec laquelle elle a été diagnostiquée et corrigée. Les clients contrôlaient si la surface de gestion vulnérable était accessible. Les MSP contrôlaient de nombreuses configurations clients. Les agences publiques contrôlaient leurs propres inventaires et processus de désactivation d'urgence. Les attaquants ont exploité les systèmes accessibles. La responsabilité suit ces points de contrôle plutôt que de se réduire à une seule phrase.

Pour les PME, le problème d'exposition est particulièrement difficile. Une petite organisation peut dépendre d'un fournisseur de services managés pour la configuration des périphériques réseau et peut ne pas savoir si l'interface Web IOS XE est activée, exposée, restreinte en interne ou inutilisée. Elle peut ne pas savoir quel train de versions elle utilise, si un logiciel corrigé est disponible ou si un utilisateur local inexpliqué est apparu.

Lorsque la CISA demande de désactiver la fonctionnalité HTTP Server sur les systèmes exposés à Internet et de rechercher toute activité malveillante, une PME peut avoir besoin que son fournisseur traduise cela en vérifications de périphériques spécifiques et en preuves.

C'est pourquoi l'incident ne concerne pas seulement Cisco et les grandes entreprises. C'est un test de l'économie du support réseau géré. Si les MSP peuvent centraliser l'administration réseau des clients, ils doivent également centraliser un inventaire précis de l'exposition, une atténuation rapide et des preuves de récupération. Le client ne peut pas accepter un « nous l'avons corrigé » comme suffisant si le périphérique pouvait avoir eu un implant au niveau root avant la correction.

L'implant a transformé la correction en récupération

Les faits publics incluent l'écriture d'un implant, ce qui change le travail. Lorsqu'une vulnérabilité ne permet que la création d'un compte non authentifié, la suppression du compte et l'application du correctif peuvent suffire dans certains cas. Lorsque la chaîne comprend une élévation des privilèges à root et un implant écrit sur le système de fichiers, les opérateurs doivent traiter les périphériques affectés comme des systèmes potentiellement compromis nécessitant un triage forensique et une validation de la récupération.

Le guide de la CISA oriente les organisations vers la recherche d'activités malveillantes et fait référence aux méthodes de détection de Cisco Talos. Le blog Cisco Talos est une source publique de détection clé même si l'accès automatisé à la page est restreint; la CISA l'a cité pour le conseil pratique selon lequel les organisations doivent rechercher des utilisateurs inexpliqués ou nouvellement créés sur les périphériques comme preuve d'une activité potentiellement malveillante. (Blog Cisco Talos,Guide de la CISA)

L'expression « utilisateur nouvellement créé » peut sembler banale. Sur un périphérique réseau, elle ne l'est pas. Un utilisateur local avec des privilèges créé par exploitation peut survivre à un examen superficiel, être réutilisé pour un accès ultérieur ou fournir une preuve de falsification. L'exécution de commandes au niveau root soulève des questions plus profondes sur l'intégrité de la configuration, l'état du système de fichiers, les images de démarrage, la persistance, les journaux et la possibilité de faire confiance à la télémétrie du périphérique lui-même.

L'application d'un correctif ferme la voie de la vulnérabilité connue. Cela ne prouve pas automatiquement qu'un périphérique compromis n'a pas d'implant restant, de compte non autorisé, de configuration modifiée ou de persistance cachée.

Les preuves de récupération nécessitent donc plusieurs couches: déterminer si l'interface Web était activée; déterminer si elle était accessible via Internet; vérifier la présence d'utilisateurs et d'indicateurs suspects; collecter et conserver les journaux lorsqu'ils sont disponibles; supprimer les comptes non autorisés; effectuer une mise à niveau vers le logiciel corrigé; comparer les configurations en cours d'exécution et de démarrage; vérifier l'intégrité de l'image; reconstruire ou réinstaller l'image en cas de soupçon de compromission; et surveiller après la remise en service.

Le guide de gestion des incidents du NIST est utile ici, car il traite la récupération comme une phase et non comme une case à cocher. La détection, le confinement, l'éradication et la récupération sont liés mais pas identiques. Un périphérique peut être corrigé pendant que des preuves sont encore en cours de collecte. Un périphérique peut être remis en service alors que la surveillance est encore renforcée. Un périphérique peut être « corrigé » du point de vue de la gestion des vulnérabilités, mais toujours non résolu du point de vue de la réponse aux incidents. (NIST SP 800-61 Rév. 2)

Cette distinction devrait façonner les rapports au conseil d'administration. Un rapport indiquant « tous les périphériques sont corrigés » peut être techniquement vrai et pourtant incomplet. Les dirigeants doivent savoir combien de périphériques avaient la fonctionnalité vulnérable activée, combien étaient exposés à Internet, combien présentaient des indicateurs de compromission, combien ont été reconstruits, combien avaient des utilisateurs non autorisés, si des journaux étaient indisponibles et si les clients de services managés ont reçu des preuves. Ce sont des indicateurs de récupération, pas seulement des indicateurs de correctifs.

Les preuves de détection étaient inégales de par leur conception

Les périphériques réseau sont souvent considérés comme des sources de vérité. Ils produisent des journaux, appliquent des listes de contrôle d'accès (ACL), acheminent le trafic et signalent leur état. En cas de compromission du plan de gestion, cette hypothèse s'affaiblit. Si un attaquant peut créer des utilisateurs et exécuter des commandes avec des privilèges élevés, les enregistrements propres du périphérique peuvent être incomplets, altérés ou absents.

L'opérateur peut avoir besoin de preuves externes: flux NetFlow, journaux de pare-feu, enregistrements SIEM, sauvegardes de configuration, journaux de gestion hors bande, journaux TACACS ou RADIUS, télémétrie réseau de type EDR et comparaison avec des configurations de référence connues.

C'est le problème des « preuves de ressources réseau » dans le manifeste. La ressource compromise n'est pas seulement porteuse de preuves; elle façonne les preuves. Si le routeur ou le commutateur est l'endroit où les journaux auraient dû être générés et que ce périphérique est compromis, la qualité des preuves dépend du fait que les journaux aient été exportés et protégés avant l'incident. Un tampon de journalisation local sur le périphérique peut être utile mais fragile. La journalisation centralisée et les enregistrements AAA deviennent beaucoup plus importants.

Le catalogue des vulnérabilités exploitées connues (KEV) de la CISA est également une infrastructure de preuves. Le référencement de CVE-2023-20198 et des vulnérabilités exploitées associées donne aux agences et aux opérateurs un signal de priorisation indiquant que le problème n'est pas théorique. Le catalogue KEV et la directive opérationnelle contraignante 22-01 ont créé un processus fédéral pour corriger les vulnérabilités exploitées connues, et de nombreuses organisations privées utilisent le catalogue comme signal de triage. (Catalogue des vulnérabilités exploitées connues de la CISA,CISA BOD 22-01)

Cependant, l'inclusion dans le KEV ne renseigne pas l'opérateur sur la compromission de son périphérique. Elle lui indique que l'exploitation est connue et que la correction doit être priorisée. L'opérateur doit toujours répondre aux questions de preuves locales: la fonctionnalité était-elle activée? Était-elle accessible? A-t-elle été sondée? Un utilisateur a-t-il été créé? L'implant était-il présent? Le logiciel corrigé a-t-il été installé? Le périphérique a-t-il été reconstruit? Les routes en aval, les ACL ou les identifiants ont-ils été modifiés?

Les preuves d'identifiants sont particulièrement importantes. Si un attaquant a créé un compte local, le périphérique peut également avoir eu accès aux serveurs AAA, aux communautés SNMP, aux systèmes de gestion de réseau, aux identifiants d'automatisation, aux référentiels de sauvegarde ou aux archives de configuration. Les avis publics de Cisco et de la CISA n'indiquent pas que tous ces systèmes en aval ont été consultés. Ils créent une raison rationnelle de vérifier si la compromission locale du périphérique aurait pu exposer des identifiants de gestion ou des relations de confiance plus larges.

Pour les organisations utilisant une authentification centralisée, un compte local devrait être anormal. Pour les organisations qui mélangent des comptes d'urgence locaux et une AAA externe, l'enquête est plus difficile. Un compte suspect peut se cacher parmi des comptes de secours légitimes si la dénomination, la documentation et l'examen périodique sont faibles. L'incident récompense donc une gouvernance ennuyeuse: comptes uniques, journalisation AAA, référentiels de configuration, sauvegardes fréquentes, moindre privilège et un inventaire propre.

Le rôle de Cisco allait au-delà de l'écriture d'un correctif

La responsabilité de Cisco inclut la vulnérabilité du produit, mais elle ne s'arrête pas là. Un fournisseur de logiciels d'exploitation réseau contrôle la conception sécurisée, la revue de code, la posture par défaut, la clarté des avis, la livraison des correctifs, la compatibilité logicielle, les conseils de détection, la capacité du centre d'assistance technique (TAC), la documentation de durcissement et la capacité des clients à identifier les versions affectées.

Dans cet incident, Cisco a divulgué la chaîne, identifié deux CVE, fourni des recommandations, publié des informations sur les versions corrigées et maintenu des conseils de durcissement.

La matrice des correctifs est importante parce qu'IOS XE n'est pas une version unique sur un seul équipement. Les grands réseaux peuvent inclure différents trains de versions, familles de matériel, contrats de support, contraintes opérationnelles et fenêtres de maintenance. Une instruction « corrigez maintenant » est correcte sur le principe mais incomplète sur le plan opérationnel. Les clients doivent savoir quelles images sont corrigées, quelles sont les mises à jour de maintenance logicielle (SMU) existantes, quels trains sont encore pris en charge, quels périphériques ont besoin de mises à niveau et si une mise à niveau comporte un risque d'indisponibilité. Le document de disponibilité des correctifs de Cisco et l'outil de vérification logicielle aident à cette traduction. (Disponibilité des correctifs Cisco,Outil de vérification logicielle Cisco)

La clarté de l'avis est aussi importante que la disponibilité des correctifs. Pendant l'exploitation active, l'avis doit indiquer aux opérateurs ce qu'il faut désactiver, ce qu'il faut rechercher, ce qui est affecté, ce qui n'est pas affecté, s'il existe des solutions de contournement, quand le logiciel corrigé est disponible et comment interpréter les indicateurs. L'avis de Cisco a fait plus qu'attribuer des CVE; il a expliqué la chaîne observée, de l'accès initial à la création d'un utilisateur local, en passant par l'élévation à root et l'écriture de l'implant.

C'est le type d'informations qui fait passer la réponse du simple correctif de routine à une évaluation de compromission.

Les paramètres par défaut du fournisseur sont une question légitime mais délicate. Il ne suffit pas de demander si l'interface Web existe. Les fonctionnalités de gestion existent souvent pour des raisons légitimes. La meilleure question est de savoir si le produit et la documentation rendent l'exposition non sécurisée difficile, visible ou bruyante. Si un serveur de gestion HTTP/HTTPS est activé, les opérateurs peuvent-ils facilement voir s'il est accessible depuis des réseaux non fiables? Les modèles et les assistants sont-ils orientés vers l'exposition minimale?

Les avertissements indiquent-ils clairement que la gestion exposée à Internet est dangereuse? La télémétrie montre-t-elle l'exposition à Internet? Le logiciel aide-t-il les opérateurs à désactiver les services de gestion inutilisés?

Les documents de durcissement de Cisco conseillent de réduire l'exposition du plan de gestion. C'est utile. Mais les documents de durcissement sont en concurrence avec les pressions de déploiement, les configurations héritées et l'habitude opérationnelle du « ça a fonctionné la dernière fois ». Les attentes en matière de sécurité dès la conception demandent de plus en plus aux fournisseurs de rendre le chemin sûr plus facile que le chemin exposé. Le guide de la CISA sur la sécurité dès la conception soutient que les fabricants de technologies devraient assumer davantage la responsabilité des résultats de sécurité des clients, et non se contenter de publier des listes de contrôle de durcissement. (CISA Secure by Design)

L'application de ce principe ici ne rend pas Cisco seul responsable de chaque périphérique exposé. Cela pose la question de savoir si les produits réseau peuvent faire plus pour signaler l'exposition de la gestion, décourager l'accessibilité via Internet, réduire la dépendance au durcissement post-déploiement et aider les opérateurs à prouver l'état actuel. Un avertissement dans un guide n'est pas la même chose qu'un contrôle dans un produit.

La responsabilité des clients et des MSP ne peut pas être externalisée à Cisco

Les clients contrôlaient de nombreuses variables qui ont déterminé le rayon d'impact. Ils ont décidé ou hérité de l'activation ou non de l'interface Web, de l'accessibilité de la gestion HTTP/HTTPS depuis Internet, de la restriction de l'accès de gestion au VPN ou aux réseaux dédiés, de la sauvegarde des configurations, de la centralisation des journaux, de l'examen des comptes d'utilisateurs locaux et de la capacité à découvrir rapidement les périphériques vulnérables.

Les fournisseurs de services managés (MSP) contrôlaient ces variables pour de nombreux clients. Cela place le rôle du MSP au centre. Si un MSP administre les périphériques réseau des clients, il doit tenir un inventaire précis des périphériques, des versions, de l'exposition de la gestion, du modèle AAA, de l'état des sauvegardes, de l'état de la journalisation et d'un plan d'intervention d'urgence pour les atténuations. Lorsqu'un avis de Cisco est publié, le fournisseur ne devrait pas commencer par se demander quels clients pourraient avoir la fonctionnalité exposée. Il devrait déjà le savoir.

L'impact sur la continuité des PME découle de cette dépendance. Un petit fabricant, une clinique, une école, un commerce de détail local ou un bureau professionnel peut subir la compromission d'un périphérique réseau sous forme d'indisponibilité, d'incertitude ou de dépenses d'urgence pour des sous-traitants. Il peut ne pas avoir l'expertise interne pour évaluer les trains de versions d'IOS XE ou les indicateurs de compromission. Si son MSP ne peut pas fournir de preuves, le client est contraint de choisir entre la confiance et des avis coûteux.

Cette incertitude peut devenir une interruption d'activité avant même qu'une manipulation malveillante du trafic ne se produise. Un client peut avoir besoin de planifier une maintenance d'urgence, de remplacer des périphériques, de renouveler les identifiants, d'examiner les journaux, d'informer la direction, de suspendre la gestion à distance ou de rassurer les auditeurs. Pour une PME, ces coûts peuvent être importants par rapport à la capacité du personnel. Le fait que le produit vulnérable soit de qualité professionnelle ne signifie pas que chaque opérateur concerné dispose d'une capacité de réponse de qualité professionnelle.

Les contrats devraient refléter cette réalité. Un contrat de réseau géré devrait préciser qui tient l'inventaire des expositions, qui reçoit les avis des fournisseurs, qui peut désactiver la gestion exposée à Internet, qui approuve les changements d'urgence, qui conserve les preuves, qui signale les indicateurs au client, qui paie pour les reconstructions d'urgence et quelles preuves le client reçoit après la clôture. Sans ces clauses, un incident comme celui d'IOS XE devient une bousculade entre le fournisseur, le MSP, le client, l'assureur et l'auditeur.

Les agences publiques ont un devoir parallèle. Elles gèrent souvent des réseaux distribués avec des équipements hérités, des contraintes d'approvisionnement et des fenêtres de maintenance. Elles peuvent également subir des conséquences sur les services publics si le routage, les communications sans fil, les communications d'urgence, les réseaux scolaires ou les services municipaux se dégradent. Les directives BOD fédérales ne régissent pas automatiquement toutes les entités publiques locales ou étrangères, mais les principes sont transférables: connaître les interfaces de gestion exposées, prioriser les vulnérabilités exploitées connues et documenter la remédiation. (CISA BOD 23-02,Catalogue KEV de la CISA)

Les avis internationaux ont montré une dépendance partagée

L'incident IOS XE a été mondial parce que les équipements Cisco sont mondiaux. Les agences gouvernementales de cybersécurité en dehors des États-Unis ont émis ou amplifié des avertissements. Le centre australien de cybersécurité a averti que l'exploitation de la vulnérabilité pourrait permettre à un utilisateur distant non authentifié de créer un compte hautement privilégié sur le système vulnérable et d'en prendre le contrôle. Le Centre canadien pour la cybersécurité a publié des mises à jour suivant l'avis de Cisco et la disponibilité des correctifs. (Alerte du Centre australien de cybersécurité,Avis du Centre canadien pour la cybersécurité)

Ces avis sont importants parce que les vulnérabilités des périphériques réseau traversent les frontières nationales plus vite que les systèmes d'approvisionnement. Une entreprise multinationale, un fournisseur d'accès à Internet régional, un réseau scolaire et une agence municipale peuvent tous utiliser IOS XE de différentes manières, avec des trains de versions et des contrats de support différents. Le même avis devient un problème opérationnel différent dans chaque environnement.

L'amplification internationale réduit également la probabilité qu'un incident soit considéré comme un simple avis privé d'un fournisseur à ses clients. Lorsque plusieurs agences nationales demandent aux opérateurs d'agir, le problème devient une question d'hygiène de l'infrastructure publique. Cela a des conséquences en matière de responsabilité. Les conseils d'administration et les responsables publics ne peuvent pas raisonnablement dire que le risque était obscur après que Cisco, la CISA et d'autres agences de cybersécurité ont publié des directives.

En même temps, les avis mondiaux ne résolvent pas l'exécution locale. La page d'une agence ne peut pas se connecter au routeur d'un client, désactiver une interface Web, examiner les utilisateurs locaux, installer le logiciel corrigé ou reconstruire un périphérique compromis. Elle ne peut qu'émettre un signal. Le dernier kilomètre appartient toujours aux propriétaires d'actifs et à leurs fournisseurs.

L'événement illustre donc une asymétrie bien connue: les avertissements sont mondiaux, mais la récupération est locale. Cisco peut publier un correctif. La CISA peut publier des directives. Les agences nationales peuvent amplifier. Les chercheurs peuvent scanner Internet. Mais un district scolaire, une PME ou une autorité publique doit toujours savoir quels périphériques elle possède, qui les administre, comment fermer l'exposition, quelle fenêtre d'indisponibilité est acceptable et quelle preuve de nettoyage satisfera sa propre décision en matière de risque.

Le dossier de récupération rigoureux que les opérateurs auraient dû conserver

Un dossier de récupération défendable pour l'événement de l'interface Web d'IOS XE devrait être plus concret qu'un simple « corrigé ». Il devrait commencer par l'inventaire: tous les périphériques IOS XE, leurs modèles, trains de versions, rôles, adresses de gestion, chemins d'accès de gestion, état de l'interface Web, état d'exposition à Internet et propriétaire responsable. Il devrait ensuite documenter l'atténuation: désactivation ou restriction des serveurs HTTP et HTTPS le cas échéant, application du contrôle d'accès, identification du logiciel corrigé, planification de la fenêtre de maintenance et approbation des exceptions d'urgence.

Vient ensuite l'évaluation de la compromission. L'opérateur doit enregistrer si chaque périphérique a montré des utilisateurs inexpliqués ou nouvellement créés, si des indicateurs connus étaient présents, si les journaux montraient un accès suspect, si les enregistrements AAA étaient conformes à l'administration attendue, si des modifications de configuration semblaient non autorisées et si le périphérique a dû être reconstruit. Le dossier doit distinguer « non vulnérable », « vulnérable mais non exposé », « exposé sans indicateur trouvé », « exposé avec indicateurs » et « compromission confirmée ».

Vient ensuite la restauration. La version corrigée du logiciel, la source de l'image, la somme de contrôle ou la validation d'intégrité, la comparaison avec la sauvegarde de configuration, la suppression des utilisateurs non autorisés, le renouvellement des identifiants, l'examen de l'AAA, l'examen des identifiants SNMP et d'automatisation, la vérification de la journalisation et la surveillance après modification doivent être consignés. Pour les périphériques à haute valeur, une reconstruction à partir de supports de confiance peut être plus crédible qu'un nettoyage sur place lorsqu'une compromission est suspectée.

Enfin, il devrait y avoir une communication avec les clients et la direction. Les responsables ont besoin d'un résumé qui relie l'état technique au risque opérationnel. Les clients des MSP ont besoin de preuves spécifiques aux périphériques, pas seulement d'un lien vers un avis générique. Les agences publiques ont besoin d'un dossier adapté aux auditeurs, aux assureurs et aux organismes de surveillance. La différence entre une bonne récupération et une récupération faible réside souvent dans les preuves conservées une fois l'urgence passée.

Le guide de gestion des correctifs du NIST renforce le point de vue selon lequel la remédiation des vulnérabilités est un cycle de vie géré plutôt qu'une action unique. Les organisations ont besoin d'inventaires, de priorisation, de tests, de déploiement et de vérification. Dans un incident de périphérique réseau activement exploité, ce cycle se comprime mais ne disparaît pas. (NIST SP 800-40 Rév. 4)

L'incident plaide également pour des tests d'exposition récurrents. Un contrôle trimestriel ou continu des services de gestion exposés à Internet aurait réduit la surprise. Un système de gestion de configuration qui signaleip http serverouip http secure-serversur les périphériques exposés à Internet aurait réduit le temps de réponse. Une AAA centralisée aurait rendu les utilisateurs locaux inattendus plus faciles à repérer. Ce ne sont pas des contrôles exotiques. Ce sont les contrôles silencieux qui ne deviennent bruyants que lorsqu'ils sont absents.

La provenance de la configuration mérite une ligne à part entière dans ce dossier. Un périphérique réseau peut réussir un scan de vulnérabilité tout en fonctionnant avec une configuration dont l'origine est mal comprise. Les opérateurs doivent savoir si la configuration en cours d'exécution provient d'un modèle standard, d'un changement d'urgence, d'une exception MSP, d'un réseau hérité d'une acquisition ou d'une correction ponctuelle d'un administrateur local. Dans le cas d'IOS XE, la provenance pourrait expliquer pourquoi une interface Web était activée et accessible.

Sans ce contexte, la remédiation peut fermer l'exposition immédiate tout en laissant l'organisation vulnérable à ce que le même schéma se reproduise lors de la prochaine poussée de modèle ou du remplacement du périphérique.

Les preuves fournies par le prestataire doivent être tout aussi concrètes. Un MSP devrait être en mesure de fournir à un client une liste datée des périphériques affectés et non affectés, l'état d'exposition avant l'atténuation, les commandes ou les modifications de configuration utilisées pour fermer la surface de gestion, la version cible du logiciel corrigé, le résultat de l'évaluation de la compromission et toute exception restante. Le client n'a pas besoin de chaque capture de paquet ou de détail sensible sur les identifiants.

Il a besoin de suffisamment de preuves pour décider si la continuité des activités, une notification à l'assurance cyber, une communication aux auditeurs ou une notification aux clients est nécessaire. Une déclaration générique selon laquelle « les périphériques Cisco ont été examinés » n'est pas la même chose qu'un dossier de récupération.

Ce dossier devrait également identifier qui a approuvé l'état exposé avant l'incident. Dans de nombreux réseaux, une interface de gestion devient accessible en raison d'une ancienne exception, d'un changement temporaire de dépannage, d'un modèle hérité d'un prédécesseur ou d'un modèle de support externalisé qui normalise discrètement un accès étendu. Fermer l'exposition après un jour zéro est nécessaire, mais la responsabilité exige de comprendre pourquoi l'exposition a existé.

Si la raison n'est pas saisie, le même schéma peut réapparaître lorsqu'un périphérique de remplacement est installé, qu'une configuration de sauvegarde est restaurée ou qu'un fournisseur de support standardise le prochain déploiement.

Les lacunes dans les preuves sont elles-mêmes instructives

Le dossier public ne fournit pas un décompte complet des victimes, une attribution complète des acteurs, tous les détails de l'implant, toutes les plateformes matérielles affectées, l'état d'exposition de chaque client ou une prescription de récupération universelle. Certaines de ces informations peuvent être impossibles à connaître publiquement. Certaines peuvent avoir été partagées en privé avec les clients affectés ou les forces de l'ordre. L'absence ne doit pas être comblée par des spéculations.

La conclusion publique la plus responsable est plus étroite. Cisco et la CISA ont documenté l'exploitation active des vulnérabilités de l'interface Web d'IOS XE, avec la création d'un compte de privilège 15, l'élévation à root et l'écriture d'un implant. La CISA a exhorté à désactiver l'exposition du serveur HTTP sur les systèmes exposés à Internet, à rechercher des activités malveillantes et à effectuer des mises à niveau. Des versions corrigées sont devenues disponibles pour les différents trains de versions. Les conséquences responsables dépendent de l'exposition locale, de l'inventaire et de la récupération.

Cette limite de preuves protège contre deux mauvais récits. Le premier mauvais récit dit que tout l'événement était simplement la faute de Cisco. Cela ignore le contrôle des clients et des MSP sur la gestion exposée à Internet. Le deuxième mauvais récit dit que tout l'événement était simplement la faute des clients pour avoir exposé la gestion. Cela ignore la responsabilité de Cisco pour les vulnérabilités, la qualité de l'avis, la livraison des correctifs et les incitations à la conception du produit.

La vérité est moins satisfaisante et plus utile. Les défauts du produit et l'exposition liée au déploiement se sont combinés. Les attaquants ont exploité les deux. Une bonne récupération a nécessité des correctifs du fournisseur et une discipline de l'opérateur. Aucun des deux camps n'avait un contrôle total, mais les deux avaient suffisamment de contrôle pour être responsables de leur part.

L'événement montre également à quel point il est difficile de prouver une confiance négative après une compromission du plan de gestion. Un périphérique peut être corrigé, mais l'opérateur peut-il prouver qu'il n'y a pas eu de création de compte? Un utilisateur peut être supprimé, mais l'opérateur peut-il prouver qu'aucune configuration n'a été modifiée? Un implant peut disparaître après un redémarrage, mais l'opérateur peut-il prouver qu'il n'y a pas eu de persistance ultérieure? Un message d'état public répond rarement à ces questions. L'architecture des preuves construite avant l'incident le fait.

La responsabilité suit le plan de gestion

Le plan de gestion est l'endroit où l'autorité se concentre. C'est là que les administrateurs s'authentifient, que les configurations changent, que les utilisateurs sont créés, que les services sont activés, que les journaux sont consultés et que la récupération commence. Laisser ce plan accessible depuis l'Internet public crée un pari permanent: que l'authentification, le code, la configuration, la surveillance et l'application des correctifs resteront tous suffisamment solides contre toutes les exploitations actuelles et futures.

L'incident de l'interface Web d'IOS XE a montré que le pari peut échouer. Le produit de Cisco présentait deux problèmes jusqu'alors inconnus dans la chaîne de l'interface Web. Les clients et les fournisseurs avaient exposé des interfaces de gestion. Les attaquants se sont déplacés assez rapidement pour que l'atténuation et la livraison des correctifs deviennent une urgence. Les agences gouvernementales ont dû amplifier les directives. Les opérateurs ont dû rechercher la création de comptes et les implants. Les PME ont dû compter sur leurs fournisseurs pour obtenir des réponses.

La leçon n'est pas d'éliminer toute administration à distance. Les réseaux modernes ont besoin de gestion à distance. La leçon est de traiter l'accès de gestion comme une infrastructure privilégiée avec une surface d'attaque plus réduite, une identité plus forte, des restrictions réseau, une journalisation, un contrôle des changements et un examen continu de l'exposition. L'administration à distance devrait être accessible via des chemins de gestion délibérés, et non via une large exposition à l'Internet public.

Pour Cisco, la leçon continue est une posture de plan de gestion sécurisée dès la conception: rendre l'exposition non sécurisée plus difficile, rendre les configurations dangereuses visibles, rendre les correctifs traçables, rendre les conseils de détection exploitables et rendre la correspondance entre versions moins confuse. Pour les clients et les MSP, la leçon est la vérité sur les actifs et l'exposition: savoir ce qui est en cours d'exécution, savoir ce qui est accessible, savoir qui en est responsable, savoir comment le désactiver, savoir comment le reconstruire et savoir quelles preuves attesteront du nettoyage.

Pour les agences publiques et les régulateurs, la leçon est que les interfaces de gestion des périphériques réseau méritent la même visibilité que les CVE applicatives faisant la une des journaux. Un routeur ou un commutateur compromis peut fausser l'environnement de preuves autour d'autres incidents. Il peut devenir un angle mort dans l'architecture de réponse. Cela fait de l'exposition du plan de gestion un risque pour la continuité, et pas seulement un problème d'hygiène informatique.

Le dossier de l'exploitation de l'interface Web d'IOS XE en 2023 est précieux parce qu'il refuse une fin simple. Les correctifs ont compté. Le durcissement a compté. Les avis ont compté. L'inventaire a compté. La responsabilité des MSP a compté. L'implant a compté. L'interface exposée a compté le plus parce qu'elle a déterminé quels périphériques étaient accessibles avant que les défenseurs n'aient des informations parfaites.

La conclusion responsable est donc pratique. Un périphérique réseau ne devrait pas avoir à être compromis avant que son propriétaire ne découvre qu'une interface Web de gestion était ouverte au monde. Un fournisseur ne devrait pas compter sur les clients pour trouver toutes les expositions non sécurisées après qu'un jour zéro a déjà frappé. Un prestataire ne devrait pas dire à un client « nous nous en sommes occupés » sans preuve. Dans la sécurité du plan de gestion, la confiance n'est pas un sentiment lié à une marque ou à un niveau de correctif.

C'est un dossier: exposition fermée, compromission évaluée, logiciel corrigé, périphérique reconstruit si nécessaire et autorité réseau restaurée avec preuves.

Typographie

La typographie est l'art et la technique de disposer les caractères pour rendre le langage écrit lisible, agréable à lire et visuellement attrayant. Elle implique le choix des polices de caractères, des tailles de points, des longueurs de ligne, de l'interlignage et de l'espacement des lettres.

  • La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au XVe siècle.
  • Les éléments clés incluent le choix de la police, le crénage, l'approche et l'interlignage.
  • Une bonne typographie améliore la lisibilité et transmet une ambiance ou un ton dans la conception.