Les administrateurs doivent modifier rapidement les informations d’identification par défaut sur Juniper SSR, Patch Cisco SLU, prévient Sans Institute.
Une augmentation d’Internet sonde ciblant les appareils de Juniper Networks, Cisco Systems et Palo Alto Networks devrait mettre leurs administrateurs en alerte, selon des experts en sécurité.
Un acteur de menace sonde Internet en utilisant des informations d’identification par défaut pour un routeur Juniper Networks, ce qui a incité un expert en cybersécurité pour avertir les administrateurs du réseau à modifier le combo de connexion du paramètre d’usine s’ils ne l’ont pas déjà fait.
« Il est triste (qu’une grande entreprise de réseautage utilise toujours un nom d’utilisateur et un mot de passe par défaut en 2025) pour de grands produits coûteux comme celui-ci », a déclaré Johannes Ullrich, doyen de la recherche au Sans Institute, qui a remarqué la poussée des analyses pour le nom d’utilisateur « T128 » et le mot de passe « 128troutes », dans une interview.
Ceci, a-t-il dit, est un compte par défaut bien connu pour la plate-forme de réseautage intelligent de session de Juniper (ou «SSR» pour «Session Smart Routing»).
« Les administrateurs sophistiqués devraient mieux savoir (que pour permettre l’utilisation de mots de passe par défaut) », a-t-il ajouté.
Le sondage a eu lieu sur sept jours à fin du mois dernier. Il s’agissait d’une analyse Internet aléatoire, a déclaré Ullrich, mais cela ne fonctionnerait que pour cet appareil Juniper particulier que si les informations d’identification par défaut n’avaient pas été modifiées.
Fin 2020, Juniper a annoncé qu’il avait conclu un accord pour acheter le créateur du routeur défini par le logiciel, 123 technologies, pour 450 millions de dollars américains. Une grande partie du produit, y compris les noms d’utilisateur et les mots de passe par défaut, est resté inchangé après l’acquisition, a déclaré Ullrich dans un blog.
« Cela ressemble à un botnet aléatoire », a-t-il déclaré à propos des tentatives de connexion. « Je n’ai pas capturé la charge utile réelle qui s’exécuterait sur la connexion avec succès, mais je soupçonne que c’est une sorte de dérivé de cryptominer ou de Mirai (botnet). Cela ne ressemble à rien de particulièrement sophistiqué. »
Juniper a été invité à des commentaires, mais aucune réponse n’avait été reçue au moment de la presse.
Exploiter les tentatives sur les appareils Cisco
Au moins Juniper a documenté le fait qu’il y a un mot de passe par défaut, et les administrateurs de l’appareil SSR ont été informés par Juniper de modifier les informations d’identification par défaut, a déclaré Ullrich. En revanche, les clients de Cisco Systems ont peut-être été pris au dépourvu lorsqu’ils ont appris en septembre dernier, il y avait une vulnérabilité qui exposait un mot de passe fixe et un fichier journal via son logiciel de services publics de licence intelligente.
Ils ont appris à ce sujet lorsque Cisco a divulgué deux vulnérabilités critiques et a publié un correctif. Cependant, le mois dernier, Ullrich a découvert que quelqu’un essayait d’exploiter les trous dans des appareils non corrigés. Et plus tôt cette semaine, Cisco a publié une mise à jour de son alerte de septembre confirmant des rapports de tentative d’exploitation. Cisco continue de recommander fortement que les clients passent à une version de logiciels corrigés pour corriger cette vulnérabilité.
Les experts en cybersécurité et les gouvernements ont exhorté les fabricants pendant des années à arrêter de vendre des produits avec des mots de passe par défaut. Dès 2016, l’agence américaine de sécurité de cybersécurité et d’infrastructure a émis une alerte sur les risques.
Et il n’est pas si difficile pour les fabricants et les développeurs d’applications d’éviter les mots de passe par défaut, a ajouté Ullrich. Certains fabricants d’appareils de consommation connectés à Internet placent désormais des autocollants au dos avec un mot de passe personnalisé. Une autre option consiste à ne pas avoir de mots de passe par défaut pour les produits, donc l’utilisateur doit créer ses propres informations d’identification lors de la première connexion.
Scanne pour les portails Palo Alto Networks
Pendant ce temps, des chercheurs de Greynoise ont déclaré cette semaine une récente augmentation significative de l’activité de balayage de connexion ciblant les portails PALO Alto Networks Pan-OS GlobalProtect. GlobalProtect est une application de point final qui permet aux employés d’accéder à distance aux ressources d’une entreprise.
Au cours des 30 derniers jours, près de 24 000 adresses IP uniques ont tenté d’accéder à ces portails, ont déclaré les chercheurs.
« Le modèle suggère un effort coordonné pour sonder les défenses du réseau et identifier des systèmes exposés ou vulnérables, potentiellement comme précurseur à l’exploitation ciblée », ont-ils déclaré, suggérant qu’un acteur de menace a découvert une nouvelle vulnérabilité.
Le rapport ne dit pas si la numérisation s’est accompagnée de tentatives de connexion.
La majeure partie du trafic provenait des États-Unis (16 249 adresses IP) et du Canada (5 823), suivies de la Finlande, des Pays-Bas et de la Russie. Cependant, les acteurs de la menace sont connus pour masquer leurs bases en tirant parti des serveurs compromis dans d’autres pays.
L’écrasante majorité des systèmes ciblés par le trafic aux États-Unis (23 768), avec des volumes plus petits dirigés vers le Royaume-Uni, l’Irlande, la Russie et Singapour. Le pic a commencé le 17 mars, indique le rapport, avec une activité culminant à près de 20 000 IPS uniques par jour et restant stable jusqu’au 26 mars avant de se rétrécir. La majeure partie de l’activité est suspecte, avec un sous-ensemble plus petit signalé comme malveillant.
«La cohérence de cette activité suggère une approche planifiée pour tester les défenses du réseau», explique le rapport, «ouvrant potentiellement la voie à l’exploitation. Les organisations utilisant des produits Palo Alto Networks devraient prendre des mesures pour sécuriser leurs portails de connexion», ont déclaré les chercheurs.
