Le chef de l’Autorité de sécurité nationale norvégienne (NSM) a averti lundi que l’exploitation de deux vulnérabilités de Cisco récemment divulguées a permis à des « entreprises importantes » du pays d’être compromises par des pirates informatiques.
S’adressant au journal norvégien Dagens Næringsliv, Sofie Nystrøm, chef du NSM, a déclaré que son agence coordonnait la réponse nationale à la paire de vulnérabilités zero-day affectant Cisco IOS XE.
Sofie Nystrøm a refusé d’identifier les entreprises touchées, se contentant de les qualifier d’importantes et de préciser que certaines d’entre elles fournissaient des services à la communauté. Son agence n’a pas indiqué combien d’organisations avaient été piratées dans le pays, ni si certaines d’entre elles appartenaient au secteur public.
La situation est « très grave », a déclaré Mme Nystrøm, avant de qualifier l’attaque de « plus puissante » qu’un incident survenu cet été au DSS, l’agence de soutien au gouvernement norvégien, qui a permis à des pirates d’accéder aux données d’une douzaine de ministères.
Dans deux avis de sécurité récents, le premier publié le 16 octobre, le géant des technologies de réseau Cisco a révélé que des attaquants exploitaient activement deux vulnérabilités (CVE-2023-20198 et CVE-2023-20273), la première ayant reçu la note maximale de 10/10 selon le système commun d’évaluation des vulnérabilités (Common Vulnerability Scoring System).
Cisco a déclaré avoir observé des attaques exploitant ces vulnérabilités dès le 28 septembre. La société a fourni un premier correctif le dimanche 22 octobre pour remédier au problème.
L’équipe Talos Intelligence de la société a déclaré avoir observé un acteur menaçant accéder aux systèmes des clients en utilisant CVE-2023-20198 et déployer ensuite un implant. Dans les jours qui ont suivi l’avis de sécurité initial de Cisco, plusieurs sociétés de sécurité ont déclaré avoir trouvé en ligne jusqu’à 40 000 appareils qui semblaient compromis.
Après la diffusion de cette première technique d’identification de l’implant, les attaquants ont mis à jour leur code malveillant pour éviter d’être détectés, et le nombre de systèmes compromis observables de l’extérieur a chuté.
Bien que l’équipe Talos ait déclaré que l’implant n’était pas capable de persister après un redémarrage de l’appareil, elle a averti que les attaquants créaient également de nouveaux comptes d’utilisateurs locaux avec des privilèges d’administrateur. « Les organisations devraient rechercher des utilisateurs inexpliqués ou nouvellement créés sur les appareils comme preuve d’une activité potentiellement malveillante liée à cette menace », a averti l’équipe de sécurité.
Le NSM est au courant de la vulnérabilité « depuis un certain temps », a déclaré le directeur adjoint Gullik Gundersen.
« L’ampleur des dégâts en cas d’exploitation de la vulnérabilité est importante, car la gravité de cette vulnérabilité est considérée comme critique. Un attaquant peut créer un utilisateur qui prend le contrôle total du système affecté », a déclaré Gullik Gundersen.
Les entreprises qui utilisent Cisco IOS XE devraient mettre à jour leurs systèmes immédiatement.
« Il y a eu des cas d’exploitation active de la vulnérabilité à l’étranger et en Norvège », a déclaré M. Gundersen. « Il s’agit toujours d’un incident en cours, et NSM s’efforce de cartographier les entreprises touchées.
Recorded Future
Intelligence Cloud.
En savoir plus.
Pas d’article précédent
Aucun nouvel article
Passionnée par la culture nordique, par la nature, par l’écriture, voici que j’ai réunie mes passions dans ce site où je vous partage mes expériences et mes connaissances sur la Norvège spécialement. J’y ai vécu 2 ans entre 2015 et 2017, depuis les décors me manque, la culture me manque. Bonne lecture.
