{"id":1548953,"date":"2025-02-21T06:26:09","date_gmt":"2025-02-21T08:26:09","guid":{"rendered":"https:\/\/teknomers.com\/fr\/cisco-confirme-que-salt-typhoon-exploite-cve-2018-0171-pour-cibler-les-reseaux-de-telecommunications-americains\/"},"modified":"2025-02-21T06:26:14","modified_gmt":"2025-02-21T08:26:14","slug":"cisco-confirme-que-salt-typhoon-exploite-cve-2018-0171-pour-cibler-les-reseaux-de-telecommunications-americains","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/cisco-confirme-que-salt-typhoon-exploite-cve-2018-0171-pour-cibler-les-reseaux-de-telecommunications-americains\/","title":{"rendered":"Cisco confirme que Salt Typhoon exploite CVE-2018-0171 pour cibler les r\u00e9seaux de t\u00e9l\u00e9communications am\u00e9ricains"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 \/ vuln\u00e9rabilit\u00e9 du r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Cisco-confirme-que-Salt-Typhoon-exploite-CVE-2018-0171-pour-cibler-les.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Cisco a confirm\u00e9 qu&#8217;un acteur de menace chinois connu sous le nom de typhon de sel a eu acc\u00e8s en abusant probablement d&#8217;un d\u00e9faut de s\u00e9curit\u00e9 connu suivi comme <a rel=\"noopener nofollow\" href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-20180328-smi2\" target=\"_blank\">CVE-2018-0171<\/a>et en obtenant des titres de connexion l\u00e9gitimes de connexion dans le cadre d&#8217;une campagne cibl\u00e9e destin\u00e9e aux grandes soci\u00e9t\u00e9s de t\u00e9l\u00e9communications am\u00e9ricaines.<\/p>\n<p>&#8220;L&#8217;acteur de menace a ensuite d\u00e9montr\u00e9 sa capacit\u00e9 \u00e0 persister dans des environnements cibles \u00e0 travers l&#8217;\u00e9quipement de plusieurs fournisseurs pendant de longues p\u00e9riodes, en maintenant l&#8217;acc\u00e8s dans un cas pendant plus de trois ans&#8221;, Cisco Talos <a rel=\"noopener nofollow\" href=\"https:\/\/blog.talosintelligence.com\/salt-typhoon-analysis\/\" target=\"_blank\">dit<\/a>d\u00e9crivant les pirates comme tr\u00e8s sophistiqu\u00e9s et bien financ\u00e9s.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Le long calendrier de cette campagne sugg\u00e8re un degr\u00e9 \u00e9lev\u00e9 de coordination, de planification et de patience &#8211; les caract\u00e9ristiques standard de la menace persistante avanc\u00e9e (APT) et des acteurs parrain\u00e9s par l&#8217;\u00c9tat.&#8221;<\/p>\n<p>L&#8217;\u00e9quipement de r\u00e9seautage Major a d\u00e9clar\u00e9 qu&#8217;il ne trouvait aucune preuve que d&#8217;autres bogues de s\u00e9curit\u00e9 connus avaient \u00e9t\u00e9 arm\u00e9es par l&#8217;\u00e9quipage de piratage, contrairement \u00e0 un r\u00e9cent rapport de l&#8217;avenir enregistr\u00e9 qui a r\u00e9v\u00e9l\u00e9 des tentatives d&#8217;exploitation impliquant des d\u00e9fauts suivis en tant que CVE-2023-20198 et CVE-2023-20273 \u00e0 CVE-2023-20198 et CVE-2023-20273 pour Infiltrez les r\u00e9seaux.<\/p>\n<p>Un aspect important de la campagne est l&#8217;utilisation de r\u00e9f\u00e9rences vol\u00e9es valides pour obtenir un acc\u00e8s initial, bien que la mani\u00e8re dont ils sont acquis sont inconnus \u00e0 ce stade. L&#8217;acteur de menace a \u00e9galement \u00e9t\u00e9 observ\u00e9 en faisant des efforts pour obtenir des informations d&#8217;identification via des configurations de p\u00e9riph\u00e9riques r\u00e9seau et d\u00e9chiffrer des comptes locaux avec des types de mots de passe faibles.<\/p>\n<p>&#8220;De plus, nous avons observ\u00e9 l&#8217;acteur de menace capturant le SNMP, le TACACS et le trafic RADIUS, y compris les cl\u00e9s secr\u00e8tes utilis\u00e9es entre les dispositifs r\u00e9seau et les serveurs TACAC \/ RADIUS&#8221;, a not\u00e9 Talos. &#8220;L&#8217;intention de cette capture de trafic est presque certainement d&#8217;\u00e9num\u00e9rer des d\u00e9tails d&#8217;identification suppl\u00e9mentaires pour une utilisation de suivi.&#8221;<\/p>\n<p>Un autre comportement notable pr\u00e9sent\u00e9 par Salt Typhoon implique de tirer parti des techniques de vie (LOTL) sur les appareils de r\u00e9seau, abusant de l&#8217;infrastructure de confiance alors que Pivot pointe pour passer d&#8217;un t\u00e9l\u00e9com \u00e0 un autre.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Cisco-confirme-que-Salt-Typhoon-exploite-CVE-2018-0171-pour-cibler-les.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Cisco-confirme-que-Salt-Typhoon-exploite-CVE-2018-0171-pour-cibler-les.jpg\" alt=\"\" border=\"0\" data-original-height=\"1446\" data-original-width=\"1876\"\/><\/a><\/div>\n<p>Il est soup\u00e7onn\u00e9 que ces appareils sont utilis\u00e9s comme relais interm\u00e9diaires pour atteindre la cible finale pr\u00e9vue ou comme premier saut pour les op\u00e9rations d&#8217;exfiltration des donn\u00e9es sortantes, car il offre un moyen pour que l&#8217;adversaire reste non d\u00e9tect\u00e9 pendant de longues p\u00e9riodes.<\/p>\n<p>En outre, Salt Typhoon a \u00e9t\u00e9 rep\u00e9r\u00e9 en modifiant les configurations du r\u00e9seau pour cr\u00e9er des comptes locaux, activer l&#8217;acc\u00e8s \u00e0 la coquille invit\u00e9 et faciliter l&#8217;acc\u00e8s \u00e0 distance via SSH. Un utilitaire sur mesure nomm\u00e9 JumbledPath a \u00e9galement \u00e9t\u00e9 utilis\u00e9 qui leur permet d&#8217;ex\u00e9cuter une capture de paquets sur un appareil Cisco distant via un h\u00f4te de saut d\u00e9fini par l&#8217;acteur.<\/p>\n<p>Le binaire elfe \u00e0 base de GO est \u00e9galement capable de nettoyer les journaux et de d\u00e9sactiver la journalisation pour tenter d&#8217;obscurcir les traces de l&#8217;activit\u00e9 malveillante et de rendre l&#8217;analyse m\u00e9dico-l\u00e9gale plus difficile. Ceci est compl\u00e9t\u00e9 par des \u00e9tapes p\u00e9riodiques entreprises pour effacer les journaux pertinents, notamment .Bash_history, Auth.log, Lastlog, WTMP et BTMP, le cas \u00e9ch\u00e9ant.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;L&#8217;utilisation de cet utilitaire aiderait \u00e0 obscurcir la source d&#8217;origine et la destination ultime de la demande et permettrait \u00e9galement \u00e0 son op\u00e9rateur de se d\u00e9placer \u00e0 travers des appareils ou une infrastructure ou d&#8217;infrastructure autrement non publique (ou routibles)&#8221;, a not\u00e9 Cisco.<\/p>\n<p>&#8220;L&#8217;acteur de menace a modifi\u00e9 \u00e0 plusieurs reprises l&#8217;adresse de l&#8217;interface de bouclage sur un commutateur compromis et a utilis\u00e9 cette interface comme source de connexions SSH \u00e0 des appareils suppl\u00e9mentaires dans l&#8217;environnement cible, ce qui leur permet de contourner efficacement les listes de contr\u00f4le d&#8217;acc\u00e8s (ACL) en place sur ces appareils . &#8220;<\/p>\n<p>La soci\u00e9t\u00e9 a d\u00e9clar\u00e9 avoir \u00e9galement identifi\u00e9 &#8220;un ciblage omnipr\u00e9sent suppl\u00e9mentaire&#8221; des appareils Cisco avec une installation intelligente expos\u00e9e (SMI), suivie de l&#8217;exploitation du CVE-2018-0171. L&#8217;activit\u00e9, a-t-il soulign\u00e9, n&#8217;est pas li\u00e9e au typhon de sel et ne partage pas les chevauchements avec un acteur ou un groupe de menace connu.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/cisco-confirms-salt-typhoon-exploited.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 f\u00e9vrier 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 \/ vuln\u00e9rabilit\u00e9 du r\u00e9seau Cisco a confirm\u00e9 qu&#8217;un acteur de menace chinois connu sous le nom de typhon de sel a eu acc\u00e8s en abusant probablement d&#8217;un d\u00e9faut de s\u00e9curit\u00e9 connu suivi comme CVE-2018-0171et en obtenant des titres de connexion l\u00e9gitimes de connexion dans le cadre d&#8217;une campagne cibl\u00e9e destin\u00e9e aux [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1548954,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,1450,11338,5859,4168,845,281921,79002,274264,4161,274263,6124,7727,65,274267,4160,185,1769,40178,238617,246491,4172,34776,79016,90728,4166,4164],"class_list":["post-1548953","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-americains","tag-cibler","tag-cisco","tag-comment-pirater","tag-confirme","tag-cve20180171","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-exploite","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pour","tag-reseaux","tag-salt","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-telecommunications","tag-the-hacker-news","tag-typhoon","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1548953","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1548953"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1548953\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1548954"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1548953"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1548953"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1548953"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}