Voici plus de dix ans que Static Tundra (appelé Berserk Bear ou Dragonfly selon les différentes équipes de chercheurs en cybersécurité) mène des campagnes de cyberespionnages de grande ampleur à travers le monde.
Ce groupe APT, affilié à la 16ème unité du FSB, le service de renseignement russe, a fait de l’intrusion furtive de réseaux ultra-sensibles sa spécialité. L’une de ses portes d’entrée privilégiée ? Une vulnérabilité présente dans de vieux appareils CISCO et qui porte le doux nom de CVE-2018-0171.
Décelée et corrigée il y a plus de 7 ans, cette vulnérabilité reste encore aujourd’hui exploitée par Static Tundra. La faute selon les équipes de Cisco Talos a des appareils non mis-à-jour, en fin de vie, mais toujours connectés aux réseaux d’infrastructures stratégiques à travers le monde.
Le phénomène est toujours si répandu que le FBI a dû, une nouvelle fois le 20 août 2025, appeler les organisations potentiellement concernées à la vigilance.
La fonctionnalité « Smart Install » au cœur du problème
C’est une fonctionnalité intégrée aux systèmes d’exploitation des appareils Cisco de l’époque (IOS et IOS XE) qui est à l’origine de la brèche. Plus précisément, le module Smart Install qui sert à faciliter le déploiement automatique et la gestion centralisée de nouveaux commutateurs sur un réseau. L’outil représente alors un vrai gain de temps pour les administrateurs.
Mais voilà, en 2018, les autorités américaines s’aperçoivent qu’une vulnérabilité critique se cache derrière cette fonctionnalité. N’importe quel attaquant, même à distance, peut envoyer des paquets conçus pour le service Smart Install non sécurisé, et ainsi exécuter des commandes arbitraires sur l’équipement sans aucun mot de passe, ni authentification.
Une manœuvre qui permet à l’assaillant de modifier la configuration, installer son propre logiciel malveillant et voler des données.
Qui est visé par ces infiltrations ?
Le FBI déclare que sur l’année écoulée, des milliers d’équipements réseau d’entités américaines de secteurs critiques ont été compromis par une attaque exploitant cette faille.
De manière générale, les cibles principales de cette campagne sont les grandes entreprises de télécommunication ou encore les établissements d’études supérieures. Soigneusement sélectionnées par Static Tundra à travers l’Amérique du Nord, l’Europe, l’Afrique ou l’Asie, en fonction des intérêts qu’elles pourraient représenter pour le gouvernement à Moscou.
Bien que le rapport insiste sur l’exploitation russe, il est également indiqué que des acteurs malveillants liés à d’autres États pourraient profiter de cette vulnérabilité.
Les autorités américaines, tout comme CISCO Talos, appellent une nouvelle fois à appliquer le patch de sécurité permettant de neutraliser la faille CVE-2018-0171 ou de désactiver Smart Install des appareils à risque.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !