Les criminels exploitent des failles critiques pour faire passer les appareils Internet des objets de deux fabricants différents dans des réseaux de zombies qui mènent des attaques par déni de service distribuées, ont déclaré des chercheurs cette semaine. Les DVR de Lilin et les périphériques de stockage de Zyxel sont affectés et les utilisateurs doivent installer les mises à jour dès que possible.
Plusieurs groupes d’attaques exploitent la vulnérabilité Lilin DVR pour les enrôler dans des botnets DDoS appelés FBot, Chalubo, et Moobot, chercheurs de la société de sécurité Qihoo 360 a déclaré vendredi. Les deux derniers botnets sont des retombées de Mirai, le botnet qui a utilisé des centaines de milliers d’appareils IoT pour bombarder des sites avec un volume record de trafic indésirable.
La vulnérabilité DVR provient de trois failles qui permettent aux attaquants d’injecter à distance des commandes malveillantes dans l’appareil. Les bogues sont: (1) les informations d’identification de connexion codées en dur présentes dans le périphérique, (2) les failles d’injection de commande et (3) les faiblesses de lecture de fichiers arbitraires. Les paramètres injectés affectent les capacités du périphérique pour le protocole de transfert de fichiers, le protocole de temps réseau et le mécanisme de mise à jour pour le protocole de temps réseau.
À la fin du mois d’août dernier, les chercheurs de Qihoo 360 ont commencé à voir des attaquants exploiter le vecteur de mise à jour NTP pour infecter des appareils avec Chalubo. En janvier, les chercheurs ont vu des attaquants exploiter les failles FTP et NTP pour propager FBot. Ce même mois, Qihoo 360 a signalé les défauts à Lilin. Sept jours après cela, les chercheurs ont détecté la propagation de Moobot grâce à l’utilisation de la vulnérabilité FTP. Lilin a corrigé les défauts à la mi-février avec sortie du firmware 2.0b60_20200207. La désignation CVE utilisée pour suivre la vulnérabilité est inconnue.
Le rapport de Qihoo 360 est arrivé un jour après que des chercheurs de la société de sécurité Palo Alto Networks ont signalé qu’une vulnérabilité récemment corrigée dans les périphériques de stockage connectés au réseau de Zyxel était également sous exploit actif. Les attaquants utilisaient les exploits pour installer une autre variante de Mirai connue sous le nom de Mukashi, qui a été récemment découverte. La faille d’injection de commande de pré-authentification a permis d’exécuter des commandes sur les appareils. À partir de là, les attaquants ont pu prendre le contrôle d’appareils utilisant des mots de passe facilement devinables. La vulnérabilité critique a reçu une cote de gravité de 9,8 sur 10 possibles en raison de la facilité de son exploitation.
UNE Avis Zyxel répertorie plus de 27 produits qui ont été affectés par la vulnérabilité, dont le suivi est CVE-2020-9054. Un correctif publié par le fabricant a corrigé de nombreux appareils, mais 10 modèles n’étaient plus pris en charge. Zyxel a recommandé que ces appareils non pris en charge ne soient plus directement connectés à Internet.
Les utilisateurs de Lilin ou de Zyxel affectés par l’une de ces vulnérabilités doivent installer des correctifs, lorsqu’ils sont disponibles, pour leurs appareils. Les périphériques qui ne peuvent pas être corrigés doivent être remplacés par de nouveaux. Il est également judicieux de placer les appareils – et autant que possible d’autres appareils IoT – derrière les pare-feu réseau pour rendre les hacks plus difficiles. Les opérateurs apprécient souvent la commodité d’accéder à ces appareils à distance, ce qui rend leur verrouillage plus difficile. La réputation bien méritée des appareils IoT en tant que bogués et peu sûrs suggère que laisser les appareils IoT exposés à des connexions extérieures peut mettre en danger les réseaux – et même l’ensemble de l’Internet -.
