La publication du Proof of Concept d'un code malveillant, dans une base de données publique destinée à cet effet, a entraîné une augmentation de l'activité des botnets IoT basés sur Mirai, a déclaré Li Fengpei, chercheur en sécurité chez Qihoo 360 Netlab. Le code malveillant en question aurait été mis en ligne le 31 octobre, mais les scans utilisant ce Proof of Concept ont commencé le mercredi 22 novembre, selon un billet de blog publié par Li Fengpei. Le Proof of Concept est une vulnérabilité qui affecte les anciens routeurs ZyXEL PK5001Z qui ont fait leur apparition sur le marché en janvier 2016. La vulnérabilité (CVE-2016-10401) est un mot de passe dissimulé sur les périphériques ZyXEL affectés qui élève l'accès d'un utilisateur au niveau de super utilisateur, autrement dit un utilisateur qui a tous les droits sur le périphérique. Ce mot de passe en soi est inutile, car il ne peut pas être utilisé pour se connecter à l'appareil. Cependant, les pirates ont découvert qu'il y a une grande quantité de périphériques ZyXEL dont les utilisateurs ont gardé les identifiants de connexion Telnet par défaut permettant ainsi à quiconque connaissant ces identifiants par défaut de se connecter à l’équipement. Le Proof of Concept permet d’automatiser le processus de connexion à un périphérique ZyXEL distant en utilisant l'un des deux mots de passe Telnet par défaut, puis utilise le mot de passé root codé en dur pour obtenir les privilèges de super utilisateur.
Au moment de sa publication, le Proof of Concept du code malveillant avait écrit le mot Mirai sur les écrans des dispositifs vulnérables. En effet, les botnets Mirai sont conçus pour analyser Internet en vue de détecter les périphériques avec des ports Telnet exposés et en utilisant une liste d'informations d'identification par défaut pour tenter de se connecter à ces périphériques afin d’installer le logiciel malveillant Mirai DDoS. Selon Li, c’est ce scénario qui se serait produit mercredi dernier. Le chercheur en sécurité affirme qu’en 60 heures environ Netlab aurait détecté un pic d'analyse d’environ 100 000 adresses IP sur les ports 23 et 2323, tous deux utilisés pour l'authentification Telnet.
Une telle campagne d'analyse massive n'est pas passée inaperçue. En effet, le chercheur indépendant en sécurité, Troy Mursch, a également signalé une hausse similaire dans l'activité de Mirai hier. Selon lui, c’est 879 nouvelles adresses IP uniques qui ont été trouvées par une analyse qu’il a effectuée le 22 novembre, affectées par des variantes de Mira. Il ajoute que « c’est un record et c’est le plus grand nombre d’adresses IP affecté par un Botnet qu’il a vu en un jour ». Troy Mursch pense que le réseau de l’opérateur argentin ISP Telefonica est le plus concerné.
Comme l’a souligné Mursch, la plupart des appareils infectés proviennent d'Argentine, et plus précisément du réseau de l'ISP Telefonica de l’Argentine. Netlab indique quant à lui avoir détecté environ 100 000 adresses IP effectuant ces analyses au cours des dernières 60 heures. Étant donné que les périphériques infectés par Mirai effectuent la tentative d'analyse et d'exploitation IP, il s'agit d'une estimation approximative du nombre de robots dans ce botnet Mirai qui recherchent des périphériques ZyXEL vulnérables. NetLab indique qu'environ 65 700 de ces robots étaient situés en Argentine, ce qui constitue un signe clair selon la société que le Fournisseur d’Accès Internet a expédié des appareils avec les droits d'accès par défaut inclus dans le Proof of Concept.
La bonne nouvelle pour les dispositifs concernés par cette attaque c’est que les botnets Mirai n'ont pas de mécanisme de persistance, ce qui signifie qu'ils sont supprimés lorsque le routeur redémarre. C'est la raison pour laquelle les botnets Mirai varient énormément en taille de jour en jour, et cela oblige également les éleveurs de botnets à scanner constamment Internet pour accroitre leurs nombres de bots. Ce n'est pas la première fois qu'un botnet Mirai exploite des failles dans le réseau d'un fournisseur de services Internet particulier pour atteindre un grand nombre de périphériques. Des incidents similaires s’étaient produits notamment en Allemagne et au Royaume-Uni en novembre et décembre 2016.
Sources : Blog Netlab, Twitter
Et vous ?
Qu'en pensez-vous ?Voir aussi
BrickeBot : un botnet de Permanent Denial-of-service rend les objets connectés inopérants dans le but de stopper le botnet Mirai selon son auteur Le malware Hajime est capable de sécuriser des objets connectés visés par le malware Mirai mais pourrait également servir à des desseins funestes