Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless,
Qui exhorte à changer les MdP par défaut

Le , par Stéphane le calme

68PARTAGES

8  0 
Le mois de septembre a été marqué par la violence des attaques par déni de service qui ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire avec des pics de trafic atteignant 1156 Gbps. Par la suite, au début du mois, un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer ces vagues d’attaques contre ces cibles.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

Si les chercheurs ont estimé que cette initiative allait sans doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis, il n’aura pas fallu beaucoup de temps aux cyber criminels pour s’en servir.

En effet, Sierra Wireless, l’équipementier canadien en dispositifs sans fil, a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». Par la suite, en se servant de la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle et par conséquent simplifie également l’attaque.


L’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) a expliqué avoir reçu un bulletin de sécurité émanant du Canadien qui décrivait des mesures d'atténuation pour sécuriser les périphériques Airlink infectés par (ou étant potentiellement vulnérables) le logiciel malveillant Mirai. « Bien que les dispositifs Sierra Wireless ne sont pas la cible du logiciel malveillant, ne pas changer les identifiants attribués par défaut, qui sont accessibles publiquement, peut entraîner la compromission du dispositif », a prévenu l’équipe. Les produits qui sont particulièrement vulnérables au logiciel malveillant sont les passerelles Sierra Wireless LS300, GX400, GX/ES440, GX/ES450, et RV50.

L’ICS-CERT précise qu’aucune vulnérabilité logicielle ou matérielle des passerelles n’est exploitée par Mirai, mais qu’il s’agit d’un problème de gestion de configuration.

Quoiqu’il en soit, voici ce que Sierra recommande aux propriétaires des dispositifs cités ci-dessus :
  • redémarrer la passerelle afin d’éliminer un quelconque logiciel Mirai existant ;
  • changer immédiatement le mot de passe ACEmanager.

L’entreprise fait également des recommandations sur la façon de protéger le réseau local.

Source : ICS-CERT, Sierra Wireless (au format PDF)

Voir aussi :

OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 22/10/2016 à 19:22
Citation Envoyé par BufferBob Voir le message
donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables
La sécurité est un "jeu" très déséquilibré :
l'équipe en défense ne peut pas gagner : dans le meilleur des cas elle empêche une attaque et évite ainsi de "perdre".
l'équipe en attaque ne peut pas perdre : dans le pire des cas l'attaque est repoussée et elle ne "gagne" pas.

Maintenant si un hack simpliste marche, ça ne veut pas dire que les hackeurs sont mauvais (c'est pas de leur faute si le système n'est pas sécurisé du tout...).

Après le DDoS, c'est un cran au dessus niveau déséquilibre : facile à mettre en place / dur de s'en protéger.
4  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 24/10/2016 à 13:54
Ce n'est même pas forcement un problème d'utilisateur...
J'ai coupé récemment l'accès internet à mon imprimante l'ayant retrouvé sur un moteur de recherche d'objets connectés mal sécurisés.
Je n'ai aucune interface me permettant de modifier le mot de passe...
Donc à part lui couper l'accès vers le monde extérieur je peux pas faire grand chose...
C'est la même chose pour bon nombre d'objets connectés, vous pouvez changer le mot de passe de l'interface locale d'administration, mais pas celui de la connexion de mise à jour ou d'administration distante d'usine ou encore de debug...
2  0 
Avatar de fenkys
Membre éprouvé https://www.developpez.com
Le 18/11/2016 à 14:44
Ils n'ont pas parlé de noob, mais de joueur mécontent.
Déjà il a su ou louer le temps de bot et comment. Ce qui n''est pas rien.
2  0 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 24/10/2016 à 19:42
Citation Envoyé par Omote Voir le message
Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues". Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).
C'est la seule protection viable contre le DDoS (c'est pour ça que ça fait tant de dégâts...)

Mais sinon c'est assez ironique. Étant petit, on a tous entendu nos parents nous dire "ne parle pas à des inconnus" "n'accepte pas de bonbons d'un inconnu" etc...
Appliquer les mêmes règles sur le net réduirait drastiquement le phishing (et donc le vol d'identité / DDoS / autre joyeuseté). Les règles tout le monde les connait, personne ne les applique.
1  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 26/10/2016 à 7:38
Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.
1  0 
Avatar de codec_abc
Membre confirmé https://www.developpez.com
Le 31/10/2016 à 12:40
Est-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 01/11/2016 à 11:52
Citation Envoyé par marsupial Voir le message
Une appli sur smartphone en 'boucle locale' ?
la boucle locale c'est ce qu'on appelle en anglais le "loopback", et par définition ça ne sort pas de la carte réseau, peu de chances d'atteindre le micro-onde donc

je pense que chrtophe devait plus probablement faire référence au fait que le quidam n'y connait rien à la sécurité, donc même si on lui donne une interface c'est pas ce qui lui donnera les bons réflexes à avoir ou changera ses habitudes
1  0 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 02/11/2016 à 19:43
C'est plutôt cool ces attaques quand même.

Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.
1  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 08/11/2016 à 12:03
L'article de Brian Krebs sur l'attaque sur le Liberia est très intéressante : https://krebsonsecurity.com/2016/11/...beria-offline/

Pour ceux qui ont la flemme de lire :

“Neither @dynresearch nor @akamai_soti have data supporting the assertion that Liberia suffered a national outage,” tweeted Dyn’s Doug Madory.
To recap: Did a Mirai botnet attack an infrastructure provider in Liberia? No question. Is the IoT problem bad enough that we have to worry about entire countries being knocked offline? Quite possibly. Was there an outage that knocked the country of Liberia offline this week? I have yet to see the evidence to support that claim.
1  0 
Avatar de SkyZoThreaD
Membre expérimenté https://www.developpez.com
Le 18/11/2016 à 12:31
Citation Envoyé par Olivier Famien Voir le message
Que pensez-vous du rapport de Level 3 incriminant un joueur en colère contre un site ;?
Que c'est faux
Quand on voit des puissants hackers se faire gauler malgré les précautions qu'ils prennent, je vois mal un noob acheter un exploit 0day sur le darkweb, lancer une attaque massive ayant des conséquences rarement observées et rester insoupçonné pendant des semaines... Reste à savoir pourquoi raconter des telles sottises.
2  1