Salt Typhoon Exploits Cisco, Ivanti, Palo Alto Flaws to Breach 600 Organizations Worldwide

Salt Typhoon : Exploitation Globale des Infrastructures Réseau

Un groupe de cyber-espionnage avancé, associé à la Chine et connu sous le nom de Salt Typhoon, a ciblé plus de 600 organisations dans le monde, notamment dans les secteurs des télécommunications, du gouvernement, des transports, de l’hôtellerie et des infrastructures militaires. Actif depuis au moins 2019, ce groupe vise à compromettre la vie privée et la sécurité des communications mondiales.

Points Clés :

• Activité Ciblée : Salt Typhoon s’en prend principalement aux routeurs centraux des fournisseurs de télécommunications majeurs, ainsi qu’aux routeurs d’accès (PE et CE).
• Stratégie de Pivot : Les acteurs utilisent des appareils compromis et des connexions de confiance pour pénétrer d’autres réseaux.
• Persistance : Les routeurs sont modifiés pour maintenir un accès à long terme aux réseaux, souvent via des tunnels GRE (Generic Routing Encapsulation).
• Origines : L’activité est liée à trois entités chinoises : Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.
• Objectif : Les données volées, en particulier auprès des télécoms et des FAI, permettent à Pékin de suivre les communications et les déplacements des cibles à l’échelle mondiale.
• Expansion : Le groupe a élargi son champ d’action à 80 pays, incluant 200 organisations aux États-Unis.
• Lien avec d’autres Groupes : L’activité de Salt Typhoon chevauche celle de groupes tels que GhostEmperor, Operator Panda, RedMike et UNC5807.
• Utilisation de Protocoles : Les attaquants exploitent des protocoles comme TACACS+ pour le mouvement latéral et la capture d’identifiants. Ils activent également le service sshd_operns sur des équipements Cisco pour obtenir des privilèges élevés.

Vulnérabilités Exploitéess :

Salt Typhoon obtient un accès initial en exploitant des vulnérabilités sur des équipements réseau périphériques de plusieurs fabricants :

• Cisco :
  • CVE-2018-0171
  • CVE-2023-20198
  • CVE-2023-20273
• Ivanti :
  • CVE-2023-46805
  • CVE-2024-21887
• Palo Alto Networks :
  • CVE-2024-3400

Recommandations :

Les organismes de sécurité recommandent de :

• Appliquer les correctifs : S’assurer que les appareils réseau sont à jour avec les derniers correctifs de sécurité, notamment ceux corrigent les vulnérabilités mentionnées.
• Surveiller le trafic réseau : Examiner le trafic pour détecter toute activité suspecte, y compris les tentatives d’accès non autorisées, les connexions GRE inhabituelles et la capture de trafic TACACS+.
• Sécuriser les accès administratifs : Renforcer les mesures d’authentification pour l’administration des équipements réseau.
• Contrôler les ACLs : Vérifier et auditer régulièrement les listes de contrôle d’accès (ACLs) pour identifier toute modification non autorisée.
• Segmenter le réseau : Mettre en œuvre une segmentation réseau appropriée pour limiter la propagation latérale en cas de compromission.
• Surveiller les services SSH : Vérifier l’activation et la configuration des services SSH sur les équipements réseau.

Source