Cisco alerte sur une campagne de cyberespionnage ciblant ses équipements réseau

Cisco a alerté le 25 septembre sur une campagne de cyberespionnage, baptisée "ArcaneDoor", qui vise directement ses équipements de sécurité réseau. Ces vulnérabilités sont activement exploitées, a prévenu la société. 

Une implantation durable du malware

L'attaque exploite des vulnérabilités permettant l'exécution de code à distance et la manipulation de la mémoire ROM des appareils (mémoire interne qui garde les instructions essentielles pour démarrer l'appareil). Autrement dit, si un hacker modifie ce qui est écrit dans la ROM, son code malveillant se lance à chaque démarrage. Ce qui permet une implantation durable du malware et complique fortement sa détection et son éradication. 

Dans le détail, sont concernés les Cisco Adaptive Security Appliances (ASA) et certains modèles Firepower. Les premiers sont des pare-feux qui combinent plusieurs fonctions, telles que le filtrage du trafic réseau, la prévention des intrusions ou encore la gestion des accès. La Cisco Firepower est une gamme plus récente de pare-feux, conçue pour remplacer progressivement les ASA. En somme, sont visés par cette attaque les deux générations principales de pare-feu Cisco. 

Les pare-feux sont des points de passage critiques, placés entre Internet et le réseau interne. Le compromettre permet aux acteurs malveillants de surveiller, intercepter et manipuler le trafic de toute l'organisation cible. 

La CISA émet une directive d'urgence

Face à cette situation, la Cybersecurity and Infrastructure Security Agency (CISA), l'agence américaine de cybersécurité, a émis une "Emergency directive" pour contraindre les agences fédérales civiles américaines à identifier et corriger immédiatement des vulnérabilités critiques dans des équipements Cisco.

Pour rappel, une Emergency Directive est un outil permettant à la CISA d'imposer des mesures de sécurité informatique immédiates et obligatoires à toutes les agences civiles américaines. Elle a une valeur contraignante pour les entités publiques. 

Dans le détail, la directive impose aux agences fédérales de recenser l'ensemble des dispositifs Cisco concernés, de collecter des données forensiques et évaluer toute compromission à l'aide des outils fournis par l'agence ainsi que de déconnecter immédiatement du réseau les appareils en fin de support sans les éteindre. Les équipements doivent également être mis à niveau ou être remplacés. Toutes ces mesures doivent être appliquées d'ici le 26 septembre 2025. 

Même si ces ordres ne s'appliquent aux entités fédérales, la CISA insiste sur la nécessité pour toutes les organisations publiques et privées utilisant ces équipements de mettre en oeuvre les mêmes mesures. 

Les alertes s'enchaînent

Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a également émis un bulletin d'alerte. Le Centre national de cybersécurité du Royaume-Uni a également exhorté les organisations à mettre à niveau les appareils vulnérables et a publié une analyse de deux logiciels malveillants utilisés dans les attaques. 

Cette campagne n'est pas nouvelle. Cisco en avait déjà révélé l'existence au printemps 2024 lorsqu'il avait découvert que ses pare-feux étaient visés par un acteur "sophistiqué". Aucune attribution n'a été faite officiellement. Certains experts pointent du doigt un groupe cybercriminel affilié à la Chine.