Serveur d'impression

Plus de 32 000 routeurs WiFi potentiellement exposés à de nouveaux … – Bien choisir son serveur d impression

Le 25 décembre 2019 - 8 minutes de lecture

Les chercheurs détectent une variante Gafgyt mise à jour qui cible les failles dans les petits routeurs sans fil de bureau et à domicile de Zyxel, Huawei et Realtek.

Une variante récemment découverte du botnet Gafgyt Internet of Things (IoT) tente d'infecter les appareils connectés, en particulier les petits routeurs sans fil pour le bureau et la maison de marques telles que Zyxel, Huawei et Realtek.

Gafgyt a été détecté pour la première fois en 2014. Depuis lors, il est devenu connu pour les attaques de déni de service distribuées à grande échelle, et ses nombreuses variantes se sont développées pour cibler un éventail d'entreprises dans tous les secteurs. À partir de 2016, les chercheurs de l'unité 42 (anciennement Zingbox security research) ont remarqué que les routeurs sans fil sont parmi les appareils IoT les plus courants dans toutes les organisations et les principales cibles des réseaux de zombies IoT.

Lorsqu'un botnet frappe, il peut dégrader le réseau de production et la réputation des adresses IP d'une entreprise. Les botnets ont accès aux appareils connectés en utilisant des exploits au lieu de tenter de se connecter via des services non sécurisés. En conséquence, un botnet peut se propager plus facilement à travers des appareils IoT même si les administrateurs d'une entreprise ont désactivé les services non sécurisés et utilisent des informations de connexion solides.

La nouvelle variante Gafgyt, détectée en septembre, est un concurrent du botnet JenX. JenX exploite également des exploits d'exécution de code à distance pour accéder et recruter des botnets pour attaquer les serveurs de jeux, en particulier ceux qui exécutent le moteur Valve Source, et lancer une attaque par déni de service (DoS). Cette variante de Gafgyt cible les vulnérabilités de trois modèles de routeurs sans fil, dont deux en commun avec JenX. Les deux partagent CVE-2017-17215 (dans Huawei HG532) et CVE-2014-8361 (dans le chipset RTL81XX de Realtek). CVE-2017-18368 (dans Zyxel P660HN-T1A) est un nouvel ajout à Gafgyt.

"Gafgyt a été développé à partir du code de botnet JenX, ce qui met en évidence tout l'intérêt qu'il y a à créer des botnets au sein de cette communauté", explique Jen Miller-Osborn, directrice adjointe du renseignement sur les menaces de l'unité 42. Cette évolution de Gafgyt indique une Un groupe de personnes travaille pour mettre à jour ces botnets et les rendre plus dangereux, note-t-elle. La plupart du temps, lorsqu'un botnet est mis à jour, cela signifie généralement qu'un nouveau CVE a été ajouté à sa gamme.

"La différence avec celui-ci est que les développeurs y ont ajouté une nouvelle vulnérabilité qui n'était pas présente dans la précédente", explique Miller-Osborn. "Cela a ajouté à sa portée potentielle." Les analyses Shodan indiquent qu'au moins 32 000 routeurs Wi-Fi sont potentiellement vulnérables à ces exploits.

Gafgyt utilise trois "scanners" pour tenter d'exploiter les bogues connus d'exécution de code à distance dans les routeurs susmentionnés. Ces scanners remplacent les attaques par "dictionnaire" typiques utilisées par d'autres réseaux de zombies IoT, qui visent généralement à violer les appareils connectés par le biais de services non sécurisés.

Les exploits sont conçus pour fonctionner comme des compte-gouttes binaires, qui extraient un binaire correspondant d'un serveur malveillant en fonction du type de périphérique qu'il tente d'infecter. La nouvelle variante de Gafgyt est capable de mener différents types d'attaques DoS en même temps, selon les commandes qu'elle reçoit du serveur de commande et de contrôle, selon des chercheurs de l'Unité 42 dans un article de blog sur les résultats.

Gafgyt met le cap sur les joueurs
L'une des attaques DoS que cette variante Gafgyt peut effectuer est VSE, qui contient une charge utile pour attaquer les serveurs de jeux exécutant le moteur source de valve. C'est le moteur qui exécute des jeux comme Half-Life, Team Fortress 2 et autres. Les chercheurs soulignent qu'il ne s'agit pas d'une attaque contre Valve, car tout le monde peut exécuter un serveur pour les jeux sur son propre réseau. Cette attaque vise les serveurs.

Avec le reste des méthodes d'attaque DoS, les opérateurs ciblent d'autres serveurs hébergeant des jeux populaires tels que Fortnite, a constaté l'unité 42. Miller-Osborn dit que le but du ciblage des serveurs de jeu est principalement d'être une gêne. "Ils ne gagneront pas beaucoup d'argent en le faisant", ajoute-t-elle.

Alors que les serveurs de jeux sont devenus des victimes populaires, la diversité des appareils IoT ciblés dans ces attaques a augmenté, selon les chercheurs. Ce n'est rien sur ces routeurs qui les rend plus susceptibles d'être détenus par des joueurs; les utilisateurs à domicile et les petites entreprises sont également à risque.

"Une fois qu'ils sont compromis, ils sont utilisés pour faire des activités malveillantes", explique Miller-Osborn. "Les routeurs eux-mêmes peuvent appartenir à n'importe qui. La chose la plus importante, en particulier avec toutes ces familles de logiciels malveillants IoT, est que les gens gardent à l'esprit que cela va probablement empirer."

Une attaque contre des serveurs de jeu est une chose, dit-elle. Il s'agit généralement d'un incident DoS et les gens ne se blessent pas. Cependant, si un attaquant peut compromettre efficacement un routeur, il peut également pénétrer dans le réseau et mener des activités plus néfastes – par exemple, le vol de données.

Ces attaques mettent en évidence le fait que de nombreux appareils, en particulier des routeurs, sont actifs sur Internet et vulnérables à un certain nombre de CVE. La nouvelle variante de Gafgyt, par exemple, cible deux vulnérabilités de routeur de 2017 et une de 2014, souligne Miller-Osborn. "En ce qui concerne les routeurs, vous ne les voyez pas nécessairement patchés", note-t-elle. En dehors de la communauté de la sécurité, peu de gens sauront quand mettre à jour leurs routeurs ou s'ils ont été touchés par un botnet – à moins, bien sûr, que leur fournisseur de services Internet ne le leur dise.

Instagram: nouveau marché Botnet
Les cybercriminels trouvent également de nouvelles façons de vendre des botnets, rapportent des chercheurs. Autrefois une activité limitée au Dark Web, l'achat et la vente de logiciels malveillants ont fait surface sur les réseaux sociaux.

Dans une attaque analysée, la nouvelle variante de Gafgyt recherche des botnets concurrents sur le même appareil et essaie de les tuer. Il le fait en recherchant certains mots clés et noms binaires présents dans d'autres variantes de botnet IoT. Les chercheurs ont remarqué que certaines chaînes étaient liées à d'autres botnets IoT (Mirai, Hakai, Miori, Satori) et que certaines correspondaient aux noms d'utilisateur Instagram. L'équipe a créé de faux profils et a tendu la main, seulement pour découvrir qu'ils vendent des botnets dans leurs profils Instagram.

(Image: unité 42)

Les attaquants ont proposé aux chercheurs le code source des réseaux de zombies. L'unité 42 a contacté Instagram pour signaler ces profils; il a également signalé que des sites malveillants étaient utilisés pour gérer les abonnements aux réseaux de zombies. Il est "assez courant" que ces ventes se produisent sur les réseaux sociaux, selon Miller-Osborn, et une lutte constante pour que les réseaux sociaux suppriment les comptes malveillants.

«Les gens veulent commercialiser leurs appareils et services, et l'un des moyens les plus simples de le faire est sur les réseaux sociaux», explique-t-elle. Bien que cela rend les choses simples pour les attaquants, la suppression des comptes est "un jeu constant de détraqué" pour les sociétés de médias sociaux.

Contenu connexe:

Cette conférence en ligne gratuite toute la journée offre un aperçu des derniers outils, stratégies et meilleures pratiques pour protéger les données les plus sensibles de votre organisation. Cliquez pour plus d'informations et, pour vous inscrire, ici.

Kelly Sheridan est rédactrice en chef à Dark Reading, où elle se concentre sur les actualités et l'analyse de la cybersécurité. Elle est une journaliste spécialisée en technologie des affaires qui a précédemment travaillé pour InformationWeek, où elle a couvert Microsoft, et Insurance & Technology, où elle a couvert les finances … Voir la biographie complète

Plus d'informations

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.