Cisco affirme que les pirates informatiques exploitent depuis au moins trois ans un bug dans l’un de ses produits de réseau populaires utilisés par les grandes entreprises, ce qui a incité le gouvernement américain et ses alliés à exhorter les organisations à agir.
Le bug, qui a un score de gravité de vulnérabilité maximum de 10,0, permet aux pirates informatiques de s’introduire à distance dans les réseaux exécutant ses produits Catalyst SD-WAN, qui permettent aux grandes entreprises et aux agences gouvernementales disposant de plusieurs bureaux de connecter leurs réseaux privés sur de longues distances.
En exploitant ce bug sur Internet, les pirates peuvent obtenir le plus haut niveau d’autorisations sur ces appareils et maintenir un accès caché persistant au sein du réseau d’une victime, leur permettant ainsi d’espionner ou de voler des données sur une longue période de temps.
Cisco a déclaré qu’après avoir découvert le bug, ses chercheurs ont retracé des preuves d’exploitation remontant à 2023. Certaines des organisations concernées seraient des infrastructures critiques. L’entreprise n’a pas fourni de détails, mais le terme « infrastructure critique » peut faire référence à tout, depuis les réseaux électriques et l’approvisionnement en eau jusqu’au secteur des transports.
Plusieurs gouvernements, dont l’Australie, le Canada, les États-Unis, la Nouvelle-Zélande et le Royaume-Uni, ont averti dans une alerte que les acteurs malveillants ciblaient les organisations « à l’échelle mondiale ».
L’agence américaine de cybersécurité CISA a ordonné à toutes les agences fédérales civiles de mettre à jour leurs systèmes d’ici vendredi en fin de journée, invoquant une menace imminente et un risque inacceptable pour le gouvernement fédéral. L’agence fédérale de cybersécurité, qui fonctionne actuellement à capacité réduite en raison d’une fermeture partielle du gouvernement, a déclaré qu’elle était au courant d’une exploitation en cours.
Ni Cisco ni les gouvernements n’ont attribué les attaques à un groupe de menace ou à un État-nation spécifique, s’il est connu, mais ont suivi un groupe d’activités sous le nom d’UAT-8616.
En décembre, Cisco a mis en garde contre une vulnérabilité de niveau 10.0 similaire dans le logiciel Async qui exécute la plupart de ses produits, et qui était activement utilisé pour pirater les réseaux de ses clients.
