ALERTE : Campagne d'attaque contre routeurs DSL (01.12.16)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Campagne d'attaque contre routeurs DSL (01.12.16)

Messagede pierre » 03 12 2016

ALERTE

Campagne d'attaque contre des routeurs DSL (01 décembre 2016)

Version initiale de l'alerte
01 décembre 2016

1 - Risque(s)
exécution de code arbitraire à distance

2 - Systèmes affectés
De nombreux routeurs vulnérables ont été victimes de cette attaque. Des systèmes vulnérables ont été rapportés outre en Allemagne, en Irlande, au Royaume-Uni, au Brésil ou encore en Finlande. Cette vulnérabilité dépend du matériel déployé par l'opérateur assurant l'accès à internet et la configuration qu'il a déployée sur celui-ci. Le nombre de ports 7547 ouverts sur internet est de l'ordre de 40 millions.

Il est à noter que tous les routeurs DSL avec ce port ouvert ne sont pas forcément vulnérables.

Par ailleurs, plusieurs versions du binaire malveillant sont en circulation. Ces versions sont compilées pour s'exécuter sur différentes architectures (MIPS, ARM, SPARC). Cela montre la volonté des auteurs de cette attaque de toucher un large éventail d'équipements.

Il n'existe pas à ce jour de liste précise de systèmes affectés.

3 - Résumé
Les routeurs DSL mis à disposition par les fournisseurs d'accès internet (Free, Orange, Bouygue, SFR, etc. en France) à leurs clients, permettent la connexion à l'Internet. Ces routeurs font l'objet d'une attaque d'une variante du ver Mirai visant à en prendre le contrôle et à les incorporer dans un réseau de machines Zombies (un Botnet (réseau de machines zombies)).

Pour l'instant, et à ma connaissance, la France n'est pas encore touchée (une frange frontalière avec l’Allemagne peut être légèrement impactée en fonction du fournisseur d'accès et du matériel mis à disposition).

Image

Cette vague d'attaque cible une vulnérabilité sur le protocole TR-064. Ce protocole est utilisé pour administrer les routeurs à distance. Les messages du protocole sont véhiculés à l'aide de requête SOAP.

Accessible depuis internet sur le port 7547, ce service présente une faille permettant l'exécution de code à distance. Le code d'exploitation de la vulnérabilité a été publié dans un article de blogue le 7 novembre 2016, et a été intégré au logiciel d'exploitation publique Metasploit (un logiciel de recherche de failles de sécurité utilisé aussi bien par les responsables de la sécurité des systèmes d'information pour les durcir que par les cybercriminels pour les exploiter).

Une forte augmentation du trafic internet à destination du port 7547 a été observée à partir du 27 novembre et traduit des tentatives d'exploitation de la vulnérabilité.

La première phase de l'attaque consiste en l'envoi d'une requête SOAP émise à destination du port 7547 de l'équipement ciblé. La Charge utile déclenche le téléchargement puis l'exécution d'un code malveillant disponible sur un serveur distant contrôlé par l'attaquant.

Le binaire téléchargé est une variante du ver Mirai qui s'attaquera au service d'administration du boîtier accessible uniquement en local ou depuis le réseau interne du client. Une des premières opérations réalisées par Mirai consiste à supprimer le binaire du disque, il restera donc uniquement en mémoire et ne dispose d'aucun mécanisme de persistance. Le logiciel malveillant fermera également le port 7547 vulnérable. Il scannera ensuite internet à la recherche d'équipement présentant le port 7547 ouvert pour les infecter.

Le déroulement de l'attaque des routeurs ne semble pas s'être déroulé correctement sur les équipements de l'opérateur allemand Deutsche Telekom provoquant une interruption de l'accès à internet de centaines de milliers de clients (900.000) entre dimanche 27 et lundi 28 novembre 2016.

4 - Contournement provisoire
Chaque service exposé via le réseau constitue une surface d'attaque potentiellement exploitable par un attaquant à distance. Il est recommandé de réduire celle-ci en :

désactivant les services inutilement lancés sur les équipements exposés sur le réseau,
restreignant l'accès aux interfaces d'administration depuis un réseau dédié, exclusivement accessible par l'opérateur et authentifié ;
changeant les mots de passe par défaut.

Le code malveillant s'exécutant en mémoire, un redémarrage de l'équipement permet d'éliminer le ver. Cependant tant que le ver continue à se propager et que la vulnérabilité n'est pas corrigée par l'opérateur, le routeur sera rapidement réinfecté.

5 - Documentation
Article de Flashpoint sur les répercussions de l'attaque en Allemagne
https://www.flashpoint-intel.com/new-mi ... om-outage/

Article de BadCyber sur la vulnérabilité exploité dans l'attaque
https://badcyber.com/new-mirai-attack-v ... erability/

Article de Securelist sur la vulnérabilité exploité dans l'attaque
https://securelist.com/blog/incidents/7 ... e-routers/

Message sur le forum SANS ISC détaillant la vulnérabilité sur le protocole TR-069
https://isc.sans.edu/forums/diary/TR069 ... ar/21763/1

Article original annonçant la vulnérabilité sur le protocole TR-069
https://devicereversing.wordpress.com/2 ... ng-hacked/

25.11.2016 Mirai (le malware qui a récemment fait tomber KrebsOnSecurity, l’hébergeur OVH et le service américain Dyn DNS) utilise le protocole STOMP pour lancer des attaques DDoS
https://www.undernews.fr/malwares-virus ... -ddos.html

27.11.2016 Deux pirates déclarent avoir mis en place un botnet Mirai de 400 000 machines esclaves qu'ils mettent en location pour mener des attaques DDoS
http://www.developpez.com/actu/107047/D ... ques-DDoS/

29.11.2016 Mirai : une variante s'attaque aux routeurs, 900 000 clients Deutsche Telekom touchés
http://www.nextinpact.com/news/102306-m ... ouches.htm

29.11.2016 Modernisé, Mirai s’attaque aux modems routeurs de Deutsche Telekom. 900 000 foyers allemands se sont trouvés privés de connexion.
http://www.lemagit.fr/actualites/450403 ... he-Telekom

29.11.2016 Tremblez… Mirai s'attaque aux routeurs domestiques
http://www.generation-nt.com/mirai-malw ... 36260.html

29.11.2016 Panne Deutsche Telekom : comme un air de Mirai
http://www.zdnet.fr/actualites/panne-de ... 845342.htm

30.11.2016 Un botnet Mirai est à louer pour 4 000 dollars
https://actualite.housseniawriting.com/ ... ars/19511/
Avatar de l’utilisateur
pierre
 
Messages: 22387
Inscription: 20 05 2002
Localisation: Ici et maintenant



Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités