Dans un rapport publié le 20 août 2025, les chercheurs de Cisco Talos alertent sur l’exploitation active d’une vulnérabilité par un groupe de cyberespions affilié aux services de renseignements russes. Une campagne qui vise principalement des machines en fin de vie et dont les correctifs ont pourtant été publiés en 2018.
Voici plus de dix ans que Static Tundra (appelé Berserk Bear ou Dragonfly selon les différentes équipes de chercheurs en cybersécurité) mène des campagnes de cyberespionnages de grande ampleur à travers le monde.
Ce groupe APT, affilié à la 16ème unité du FSB, le service de renseignement russe, a fait de l’intrusion furtive de réseaux ultra-sensibles sa spécialité. L’une de ses portes d’entrée privilégiée ? Une vulnérabilité présente dans de vieux appareils CISCO et qui porte le doux nom de CVE-2018-0171.
Décelée et corrigée il y a plus de 7 ans, cette vulnérabilité reste encore aujourd’hui exploitée par Static Tundra. La faute selon les équipes de Cisco Talos a des appareils non mis-à-jour, en fin de vie, mais toujours connectés aux réseaux d’infrastructures stratégiques à travers le monde.
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Le phénomène est toujours si répandu que le FBI a dû, une nouvelle fois le 20 août 2025, appeler les organisations potentiellement concernées à la vigilance.
La fonctionnalité « Smart Install » au cœur du problème
C’est une fonctionnalité intégrée aux systèmes d’exploitation des appareils Cisco de l’époque (IOS et IOS XE) qui est à l’origine de la brèche. Plus précisément, le module Smart Install qui sert à faciliter le déploiement automatique et la gestion centralisée de nouveaux commutateurs sur un réseau. L’outil représente alors un vrai gain de temps pour les administrateurs.
Mais voilà, en 2018, les autorités américaines s’aperçoivent qu’une vulnérabilité critique se cache derrière cette fonctionnalité. N’importe quel attaquant, même à distance, peut envoyer des paquets conçus pour le service Smart Install non sécurisé, et ainsi exécuter des commandes arbitraires sur l’équipement sans aucun mot de passe, ni authentification.
Une manœuvre qui permet à l’assaillant de modifier la configuration, installer son propre logiciel malveillant et voler des données.
Qui est visé par ces infiltrations ?
Le FBI déclare que sur l’année écoulée, des milliers d’équipements réseau d’entités américaines de secteurs critiques ont été compromis par une attaque exploitant cette faille.
De manière générale, les cibles principales de cette campagne sont les grandes entreprises de télécommunication ou encore les établissements d’études supérieures. Soigneusement sélectionnées par Static Tundra à travers l’Amérique du Nord, l’Europe, l’Afrique ou l’Asie, en fonction des intérêts qu’elles pourraient représenter pour le gouvernement à Moscou.
Bien que le rapport insiste sur l’exploitation russe, il est également indiqué que des acteurs malveillants liés à d’autres États pourraient profiter de cette vulnérabilité.
Les autorités américaines, tout comme CISCO Talos, appellent une nouvelle fois à appliquer le patch de sécurité permettant de neutraliser la faille CVE-2018-0171 ou de désactiver Smart Install des appareils à risque.
Toute l’actu tech en un clin d’œil
Ajoutez Numerama à votre écran d’accueil et restez connectés au futur !
