Des cybercriminels exploitent une faille présente sur des millions de routeurs pour faire grossir leur botnet

Le 3 août, un chercheur de Tenable détaillait la façon dont il avait réussi à exploiter une faille présente sur des millions de routeurs. Même si la vulnérabilité a été corrigée grâce à son travail, depuis plus de 3 mois, des cybercriminels ont pu se servir de sa démonstration pour lancer une vague d’attaques.Des cybercriminels exploitent une faille présente sur des millions de routeurs pour faire grossir leur botnet

Le 5 août, les chercheurs de chez Bad Packets ont observé un comportement inhabituel de la part d’un groupe de cybercriminels dont ils traquent l’activité : il scannait Internet à la recherche de routeurs vulnérables à une faille découverte et réparée en avril. Le lendemain, le Juniper Threat Lab observait le même phénomène. Le dénominateur commun des routeurs ciblés était leur utilisation d’un firmware [un type de logiciel, ndlr] développé par Arcadyan.

Le gang derrière la manœuvre se spécialise dans la vente d’attaques DDoS (par déni de service), qui consistent à faire tomber un appareil en le surchargeant de connexions. Pour y parvenir, il s’appuie sur un botnet, une flotte de milliers d’appareils « zombies » qu’il a constituée et avec laquelle il peut lancer une attaque coordonnée. Plus précisément, le groupe corrompt des objets connectés à l’aide d’un variant du malware Mirai, une souche virale très utilisée.

Hacker le routeur permet de s’attaquer au reste du réseau local. // Source : Pixnio

L’objectif de la manœuvre repérée par les chercheurs était justement de trouver de nouveaux appareils à infecter pour renforcer leur botnet. La vulnérabilité scannée, CVE-2021-20090, permet de passer outre les processus d’authentification, et autorise ainsi le hacker à se connecter au routeur à distance. Une fois authentifié, l’attaquant va pouvoir lancer son propre code sur la machine. Dans le jargon on parlera d’une RCE (Remote Code Execution) : concrètement, le hacker va pouvoir manipuler l’appareil à sa guise depuis chez lui, et s’en servir comme plateforme de diffusion du variant de Mirai. Il pourra accéder à tous les objets connectés du réseau local, et tenter de les corrompre.

Des millions d’appareils concernés

Les routeurs sont des cibles de choix puis qu’ils sont en charge de la passerelle entre Internet et votre réseau Wi-Fi : ce sont eux par exemple qui sont en responsables de votre réseau Wi-Fi. C’est une des raisons qui explique que la CVE-2021-20090 était notée 9,9/10 sur l’échelle de criticité, en plus de sa facilité d’exploitation.

Comme le détaille le Juniper Threat Lab, le firmware Arcadyan vulnérable équipe 20 modèles de routeurs de 17 marques différentes, dont Asus, Orange, Verizon ou encore Vodafone. Autrement dit, des millions de routeurs, présents dans les foyers de dizaines de pays différents, sont vulnérables à l’attaque. Et ces millions de routeurs donnent eux-mêmes un accès à des dizaines de millions d’appareils connectés. Mais d’après le tableau présenté par les chercheurs, les modèles de box Internet français seraient épargnés par la faille. La box d’Orange concernée, la Livebox Fibra, n’est par exemple utilisée qu’en Espagne.

La faille n’était pas exploitée avant que les chercheurs en parlent

La vulnérabilité a suivi un itinéraire pour le moins étrange. L’entreprise Tenable l’a découverte au début de l’année, puis en a parlé publiquement fin avril, après que des correctifs ont été déployés. D’après les chercheurs, la faille existait depuis « au moins 10 ans », c’est pourquoi tant de modèles de routeurs, construits sur la base du firmware d’Arcadyan disponible en marque blanche, y sont vulnérables.

Mais bien que critique et largement répandue, la faille n’avait jamais été exploitée… jusqu’au 3 août. Evan Grant de Tenable a alors écrit un article technique où il détaille sa preuve de concept, sorte de notice explicative de comment il a exploité la vulnérabilité. Il n’en fallait pas plus pour que les cybercriminels s’en emparent et trouvent un moyen de l’appliquer à grande échelle deux jours plus tard, profitant que le firmware des routeurs n’était pas toujours mise à jour.

Certes, le cas précis présenté dans l’article de Grant ne fonctionne pas forcément pour tous les modèles vulnérables. Mais certains cybercriminels ont les compétences en interne pour l’adapter, si tel est le cas.

La bonne nouvelle, c’est que le correctif pour se protéger des hackers existe déjà. Le problème, comme le rappellent les chercheurs du Juniper Threat Lab interrogés par le Bleeping Computer, c’est que la plupart des personnes concernées n’ont même pas connaissance de l’attaque, et ne vont pas déployer le patch.

Tweeter

Partager

Partager

Partager

redditer

Leave a Reply

Your email address will not be published. Required fields are marked *