Un groupe étatique jusqu’alors inconnu et « sophistiqué » aurait compromis les pare-feu de Cisco dès novembre 2023 à des fins d’espionnage, et aurait potentiellement attaqué des appareils réseau fabriqués par d’autres fournisseurs, y compris Microsoft, selon les avertissements de Cisco et de trois gouvernements occidentaux. Ces campagnes de cyber-espionnage, surnommées « ArcaneDoor » par Cisco, ont été repérées pour la première fois début janvier et révélées mercredi. Elles ont ciblé les services VPN utilisés par les gouvernements et les réseaux d’infrastructures critiques à travers le monde, selon un avis conjoint émis par le Centre canadien pour la cybersécurité (Cyber Centre), le Centre de cybersécurité de l’Australian Signals Directorate et le National Cyber Security Centre (NCSC) du Royaume-Uni. Un porte-parole de Cisco a refusé de commenter le pays auquel le groupe de surveillance – suivi sous le nom de UAT4356 par Talos et de STORM-1849 par Microsoft – est affilié. Cependant, les révélations interviennent alors que des groupes de piratage soutenus par la Russie et la Chine ont été découverts en train de s’infiltrer dans les systèmes d’infrastructures critiques et les agences gouvernementales, la Chine ciblant spécifiquement l’équipement Cisco. Le mystérieux groupe étatique aurait « utilisé des outils sur mesure démontrant un intérêt manifeste pour l’espionnage et une connaissance approfondie des dispositifs ciblés, caractéristiques d’un acteur parrainé par l’État sophistiqué », selon un rapport de Talos publié aujourd’hui. Les attaques exploitent deux failles, CVE-2024-20353 et CVE-2024-20359, dans les dispositifs Cisco Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD), et le géant des réseaux a publié des correctifs pour les deux mercredi, ainsi qu’un correctif pour une faille connexe.
Menu
