Des malfaiteurs exploitent activement deux nouvelles vulnérabilités du jour zéro pour transformer les routeurs et les enregistreurs vidéo en un botnet hostile utilisé dans des attaques par déni de service distribué, ont déclaré jeudi des chercheurs de la société de réseaux Akamai.
Selon un article d’Akamai, ces deux vulnérabilités, jusqu’alors inconnues de leurs fabricants et de la communauté des chercheurs en sécurité dans leur ensemble, permettent l’exécution à distance de code malveillant lorsque les appareils concernés utilisent des informations d’identification administratives par défaut. Des attaquants inconnus ont exploité les failles Zero Day pour compromettre les appareils afin qu’ils puissent être infectés par Mirai, un puissant logiciel open source qui intègre les routeurs, les caméras et d’autres types d’appareils Internet des objets dans un botnet capable de commettre des attaques. Des DDoS d’une taille auparavant inimaginable.
Les chercheurs d’Akamai ont déclaré que l’une des attaques Zero Day réside dans un ou plusieurs modèles d’enregistreurs vidéo sur réseau. L’autre « jour zéro » réside dans un « routeur LAN sans fil basé sur une prise, conçu pour les hôtels et les applications résidentielles ». Le routeur est vendu par un fabricant basé au Japon, qui « produit plusieurs commutateurs et routeurs ». La fonctionnalité du routeur exploitée est « très courante » et les chercheurs ne peuvent pas exclure la possibilité qu’elle soit exploitée dans plusieurs modèles de routeur vendus par le fabricant.
Akamai a déclaré avoir signalé les vulnérabilités aux deux fabricants et que l’un d’eux a fourni l’assurance que des correctifs de sécurité seraient publiés le mois prochain. Akamai a déclaré qu’il n’identifiait pas les appareils spécifiques ni les fabricants jusqu’à ce que des correctifs soient mis en place pour empêcher les jours zéro d’être plus largement exploités.
« Bien que ces informations soient limitées, nous avons estimé qu’il était de notre responsabilité d’alerter la communauté sur l’exploitation en cours de ces CVE dans la nature. La frontière est mince entre la divulgation responsable d’informations pour aider les défenseurs et le partage excessif d’informations qui peut permettre de nouveaux abus par des hordes d’acteurs menaçants.
La publication d’Akamai fournit une multitude de hachages de fichiers et d’adresses IP et de domaine utilisés dans les attaques. Les propriétaires de caméras vidéo réseau et de routeurs peuvent utiliser ces informations pour voir si les appareils de leurs réseaux ont été ciblés.
L’exécution de code à distance utilise une technique connue sous le nom d’injection de commandes, qui nécessite d’abord qu’un attaquant s’authentifie à l’aide des informations d’identification configurées sur le périphérique vulnérable. L’authentification et l’injection s’effectuent à l’aide d’une requête POST standard.
Dans un e-mail, Larry Cashdollar, chercheur d’Akamai, a écrit :
Les appareils ne permettent généralement pas l’exécution de code via l’interface de gestion. C’est pourquoi il est nécessaire d’obtenir RCE via l’injection de commandes.
Étant donné que l’attaquant doit d’abord s’authentifier, il doit connaître certaines informations de connexion qui fonctionneront. Si les appareils utilisent des identifiants faciles à deviner comme admin:password ou admin:password1, ceux-ci pourraient également être menacés si quelqu’un élargit la liste des informations d’identification pour essayer.
Il a déclaré que les deux fabricants ont été informés, mais qu’un seul d’entre eux s’est jusqu’à présent engagé à publier un correctif, attendu le mois prochain. L’état d’un correctif du deuxième fabricant est actuellement inconnu.
Cashdollar a déclaré qu’une analyse incomplète d’Internet a montré qu’il existe au moins 7 000 appareils vulnérables. Le nombre réel d’appareils concernés peut être plus élevé.
Mirai a attiré l’attention du public pour la première fois en 2016, lorsqu’un botnet, c’est-à-dire un réseau d’appareils compromis sous le contrôle d’un acteur malveillant, a détruit le site d’informations sur la sécurité KrebsOnSecurity avec ce qui était alors un record de 620 gigabits par seconde. DDoS.
Outre son énorme puissance de feu, Mirai se distinguait pour d’autres raisons. D’une part, les appareils qu’il réquisitionne étaient un ensemble de routeurs, de caméras de sécurité et d’autres types d’appareils IoT, ce qui était largement inédit auparavant. Et d’autre part, le code source sous-jacent est rapidement devenu disponible gratuitement. Bientôt, Mirai a été utilisé dans des DDoS encore plus importantes ciblant les plates-formes de jeux et les FAI qui les desservaient. Mirai et d’autres botnets IoT font depuis lors partie intégrante de la vie Internet.
La souche Mirai utilisée dans les attaques découvertes par Akamai est principalement une souche plus ancienne connue sous le nom de JenX. Il a cependant été modifié pour utiliser beaucoup moins de noms de domaine que d’habitude pour se connecter aux serveurs de commande et de contrôle. Certains échantillons de logiciels malveillants montrent également des liens avec une variante distincte de Mirai connue sous le nom de hailBot.
Le code utilisé dans les attaques zero-day observées par Akamail – y compris les insultes racistes offensantes – est presque identique à celui utilisé dans les attaques DDoS observées par une société de sécurité basée en Chine ciblant un site d’information russe en mai. L’image ci-dessous montre une comparaison côte à côte.
Les charges utiles exploitant les jours zéro sont :
alert tcp any any -> any any (msg:"InfectedSlurs 0day exploit #1 attempt"; content:"lang="; content:"useNTPServer="; content:"synccheck="; content:"timeserver="; content:"interval="; content:"enableNTPServer="; sid:1000006;)
et
alert tcp any any -> any any (msg:"InfectedSlurs 0day exploit #2 attempt"; content:"page_suc="; content:"system.general.datetime="; content:"ntp.general.hostname="; pcre:"ntp.general.hostname="; content:"ntp.general.dst="; content:"ntp.general.dst.adjust="; content:"system.general.timezone="; content:"system.general.tzname="; content:"ntp.general.enable="; sid:1000005;)
Les personnes ou organisations préoccupées par la possibilité d’être ciblées par ces exploits peuvent utiliser les règles Snort et les indicateurs de compromission publiés par Akamail pour détecter et repousser les attaques. Pour le moment, il n’existe aucun moyen d’identifier les appareils spécifiques vulnérables ou les fabricants de ces appareils.