Le Botnet Carna crée un réseau de 420 000 bots
Et réussit l'exploit de scanner l'espace complet d'adressage IPv4 d'Internet

Le , par Hinault Romaric, Responsable Actualités
Le rapport d’un hacker anonyme vient d’être rendu public. Selon ce rapport, une large majorité de périphériques connectés à internet ne respecte pas les mesures de sécurité élémentaires, comme l’utilisation d'un mot de passe fort, et peut donc être utilisée pour créer un botnet.

Le projet du hacker est très simple. Effectuer des scans sur une large plage d’adresses IPv4, se connecter aux équipements scannés avec le protocole Telnet. Utiliser la combinaison classique root avec le nom d’utilisateur et le mot de passe (dont plusieurs utilisaient le mot de passe « root » ou « admin ») pour se connecter à l’équipement vulnérable.

Le résultat est tout simplement ahurissant. 420 000 équipements sont vulnérables. En se servant des hôtes vulnérables, l’auteur a pu scanner l’espace complet d’adressage IPv4 de l’Internet mondial.


Répartition des 420 000 équipements vulnérables

En l’espace de six mois, celui-ci a découvert que le nombre restant d’adresses IP encore actives serait de 1,3 milliard sur un total de 4,3 milliards. Carna a reçu des réponses de 420 millions, sans compter les 36 millions de ports ouverts.

Le botnet écrit en C est composé de deux exécutables de 46 ko et 60 ko de taille. L’un était le « scanneur » Telnet, alors que le second était utilisé pour la gestion du premier et l’upload des résultats vers une adresse IP spécifique.

Il faut noter par ailleurs que le but du hacker n’était pas destructif. « Nous n’avons pas changé les mots de passe des périphériques vulnérables et ceux-ci revenaient automatiquement à leur état initial une fois redémarrés » , écrit celui-ci dans le rapport.

On pourrait croire que cette vulnérabilité est localisée dans certains pays ou continents uniquement, ou alors imputable aux équipements de certains constructeurs. La réalité est toute autre. En effet, Routeurs IPSec et BGP, systèmes de contrôle industriel, systèmes de sécurité physiques de porte, équipements des constructeurs Cisco et Juniper, sont autant d’éléments présents dans une liste exhaustive d’équipements.

De plus, le hacker affirme avoir « évité volontairement de scanner les hôtes présents sur les réseaux locaux ».

Source : Le rapport sur Carna

Et vous ?

Qu'en pensez-vous ?

Quels peuvent être les impacts d'une telle action ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Shuty Shuty
http://www.developpez.com
Membre Expert
le 22/03/2013 17:15
C'est quand même assez incroyable tout ça... Maintenant, j'aurai aimé savoir comment il a déployé son bootnet, quelle faille ?
Avatar de zyhou zyhou
http://www.developpez.com
Membre du Club
le 22/03/2013 17:41
J ai vue sur un autre article ou y détailler plus.
Il disait que le bot ne tester que les mot de passe admin:admin et root:root.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 22/03/2013 20:51
En effet, le plus bluffant est qu'il n'a utilisé aucune faille. Il s'est juste contenté de profiter de l'incompétence d'une grande partie des administrateurs qui laissent les mots de passe évidents.
Et encore, il n'a testé que les mot de passe "root" et "admin", Je n'ose pas imaginé ce que ça aurait donné s'il avait utilisé un dictionnaire.
Avatar de a028762 a028762
http://www.developpez.com
Membre confirmé
le 23/03/2013 8:09
C'est sans doute un peu plus compliqué (dans l'article, ils disent "dont certains utilisaient root/root et admin/admin)
Ce qui montre que la sécurité est d'abord une affaire d'humains et
qu'avant d'em. tout les acteurs avec des sécurités sophistiquées, qui sont toujours une contrainte, il vaudrait mieux avoir une formation et une organisation à la sécurité.
Je pense à des dongles qui sont mis sur les portables (qui dépassent donc) et
qui chiffrent toutes les données, sans action de l'acteur ..
OI
Avatar de cr06230 cr06230
http://www.developpez.com
Invité de passage
le 30/03/2013 9:29
L'étude montre en effet qu'un trop grand nombre d'administrateurs, malgré les consignes désormais classiques de sécurité sur les choix de passwords, sont absolument inconscients.
La facilité d'intrusion sur un si grand nombre de systèmes fait froid dans le ds. On peut imaginer les dégâts qui pourraient être causés à tous les niveaux par des hackers malveuillants.
Avatar de Pelote2012 Pelote2012
http://www.developpez.com
Membre Expert
le 03/04/2013 12:24
et bien ce hacker ne fait que confirmer ce que je vois chez mes clients..
Hier, sur un pb de wifi, j'ai du aller dans sa box qu'il a depuis ... années.

Il connaissait le login/mot de passe par coeur : admin/admin

Je préfère largement le miens : admin/password
Offres d'emploi IT
Web dev ruby on rails + ember js
Stage
Startup VeloReso - Franche Comté - Besançon (25000)
Parue le 19/12/2014
DEVELOPPEUR INFORMATIQUE VBA
CDI
ProRH - Ile de France - Secteur de Mantes la Jolie
Parue le 22/12/2014
Ingénieur python
Stage
Stage & Co. - Ile de France - Paris (75000)
Parue le 10/12/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula