Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Alerte sur Mirai, le malware créant des botnets d'objets connectés

Des équipements pratiquement offerts aux menaces
Internet 3 min
Alerte sur Mirai, le malware créant des botnets d'objets connectés
Crédits : Hailshadow/iStock

Le malware Mirai s’en prend aux passerelles cellulaires, habituellement utilisées pour connecter certains équipements à Internet. Il est à l’origine de quelques-unes des plus vastes attaques distribuées par déni de service jamais enregistrées. Il fleurit malheureusement là où les consignes élémentaires de sécurité ne sont pas respectées.

Un signal d’alarme a été tiré jeudi dernier par l’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team). Dans son bulletin, l’équipe indique que le constructeur Sierra Wireless est touché par un malware du nom de « Mirai ». Ses passerelles cellulaires AirLink sont attaquées et, une fois contaminées, sont capables de réunir une foule d’appareils connectés pour en faire une armée. En d’autres termes, un botnet d’objets connectés.

Ce sont plus précisément les modèles LS300, GX400, GX/ES440, GX/ES450 et RV50 qui sont concernés. Dans son propre bulletin de sécurité, Sierra Wireless indique que les infections réussissent quand l’interface de contrôle ACEmanager est utilisée sans que le mot de passe par défaut n’ait jamais été changé. Une règle de sécurité pourtant élémentaire en entreprise.

Des mots de passe par défaut non modifiés

L’entreprise indique : « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». En utilisant la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle, donc d’attaque.

Les conseils sont donc simples pour les entreprises qui utilisent des produits Sierra Wireless, et plus globalement n’importe quel produit du même acabit. Le changement du mot de passe par défaut est la priorité. Le constructeur indique que les administrateurs doivent vérifier l’ensemble des accès extérieurs et couper tout ce qui n’est pas nécessaire, pour réduire la surface d’attaque. Si de tels accès sont requis, il conseille d’utiliser la redirection de ports, et surtout pas les fonctions DMZ Host et Public Mode.

La présence du malware se signale quant à elle de plusieurs manières, notamment un trafic anormal sur le port TCP 23. Le port TCP 48101 est utilisé par le malware pour tout ce qui touche aux instructions, émises et reçues. Si la passerelle est utilisée pour une attaque DDoS, le trafic sortant sera bien sûr très élevé. Pour information, OVH a indiqué que lors des plus fortes attaques de ces dernières semaines, des pics de 1 Tb/s avaient été enregistrés. Il rappelle également, tout comme Ars Technica récemment, que si Mirai a beaucoup été mis en avant, un autre malware – Bashlite – participait lui aussi aux manoeuvres. 

D'autres rapports à prévoir

Cela fait environ un mois que Mirai sévit, avec une intensification probable à prévoir, due à la publication de son code source il y a deux semaines. Actuellement, les estimations font état d’au moins 1,2 million d’appareils contaminés, chacun pouvant contrôler un parc d’autres appareils, puisque ces passerelles sont notamment utilisées dans les chaines industrielles, les caméras de sécurité, etc.

En outre, il est probable que si Mirai réussit ce type de contrôle, d’autres malwares peuvent en faire autant, non seulement sur les produits Sierra Wireless, mais également sur d’autres équipements du même acabit. Il ne serait donc pas étonnant de voir arriver d’autres bulletins de sécurité dans les jours et semaines qui viennent

27 commentaires
Avatar de Silenus INpactien
Avatar de SilenusSilenus- 17/10/16 à 12:19:54

Et que dire de électroménager connecté dernier cri.

Bientot un botnet de frigo Laden ou de lave linge Samsumg :francais:

Avatar de matroska INpactien
Avatar de matroskamatroska- 17/10/16 à 12:22:12

User : admin
Password : admin

:transpi:

Avatar de Glandos Abonné
Avatar de GlandosGlandos- 17/10/16 à 12:24:56

C'est bien plus qu'une classe de matériel, mais c'est toujours le même principe : le mot de passe par défaut n'est pas changé. Et parfois, ce n'est pas de la faute du propriétaire, puisque même en changeant le mot de passe via l'interface Web proposée, ça ne change pas celui du système, toujours accessible en ssh ou en telnet.

Édité par Glandos le 17/10/2016 à 12:25
Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 17/10/16 à 12:26:29

Il fleurit malheureusementlogiquement là où les consignes élémentaires de sécurité ne sont pas respectées.

:transpi:

Avatar de thomgamer INpactien
Avatar de thomgamerthomgamer- 17/10/16 à 12:32:24

Les lave-linge Samsung ça sera un peu les kamikazes de l'armée des botnet.

Avatar de Rufh Abonné
Avatar de RufhRufh- 17/10/16 à 12:42:06

Tu veux parler de ça ?

Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 17/10/16 à 12:51:33

Je l'ai toujours dit ! :phiphi:

Je vais retourner prendre soin de mes objets non connectés...

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 17/10/16 à 13:11:47

c'est ça de vouloir mettre du connecté partout et avoir des devs manchots

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

darkbeast a écrit :

c'est ça de vouloir mettre du connecté partout et avoir des devs manchots

Ce sont les devs qui doivent changer les mots de passe par défaut ?

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 17/10/16 à 13:19:33

ActionFighter a écrit :

Ce sont les devs qui doivent changer les mots de passe par défaut ?

ben ouais c'est le mec qui développe l'appli pour l'objet qui ne doit pas mettre un mot de passe de merde de base stou

Il n'est plus possible de commenter cette actualité.
Page 1 / 3