Les objets connectés sont loin d’en avoir terminé avec le malware Mirai. La publication du code source a provoqué l’apparition de plusieurs variantes, et près d’un million de routeurs Deutsche Telekom ont été touchés, provoquant de sérieux disfonctionnements.
L’objectif de Mirai est de s’infiltrer dans les objets connectés pour créer des botnets. La première version a essentiellement visé des caméras connectées, mais la publication début octobre du code source faisait craindre une multiplication des attaques. À la fin du mois, nous indiquions que 500 000 appareils étaient toujours contaminés et que des signes évidents pointaient vers l’arrivée de variantes adaptées à d’autres situations.
900 000 clients touchés chez Deutsche Telekom
Depuis environ 48 heures, de nombreux clients ADSL en Allemagne se plaignent de problèmes avec leurs routeurs. Les symptômes sont un ralentissement très significatif de la connexion, entrainant des coupures de services pour la téléphonie et la télévision notamment. Rapidement, la piste d’une attaque est apparue, Mirai semblant alors le mieux placé. Entre temps, Deutsche Telekom a confirmé que 900 000 de ses clients avaient souffert de coupures sur les seules journées de dimanche et lundi.
Du propre aveu de Deutsche Telekom, entre 4 et 5 % de ses clients ont été touchés, le fournisseur d’accès en comptant 20 millions. Il indique sur sa page Facebook que l’attaque a bien tenté d’infecter les routeurs mais n’y est pas parvenue. Pourquoi ? Parce que le malware n’avait pas les droits nécessaires pour s’écrire dans l’unité de stockage des routeurs. La faille lui permettait simplement de passer et d’aller résider en mémoire vive. Conséquence, un redémarrage de l’équipement permettait à la situation de rentrer dans l’ordre.
Un mode opératoire très similaire pour l'exploitation
Comme l’indique notamment Kaspersky, un trafic suspect a été détecté sur le port TCP 7547, utilisé le plus souvent pour la spécification TR-064. Cette dernière décrit un mécanisme de configuration à distance des équipements DSL. Or, une porte ouverte pour une action distante, c’est précisément ce qui a fait le « succès » de Mirai, les constructeurs laissant disponible de tels canaux pour simplifier l’administration.
Le malware, qui présentait les contours d’une variante de Mirai, s’est attaqué à une vulnérabilité exploitable à distance dans les routeurs Zyxel, chez qui Deutsche Telekom se fournit. Comme l’explique le SANS Technology Institute, Mirai cible ces appareils de la même manière qu’il visait les caméras connectées, en adaptant simplement sa méthode. Il cherche ainsi un service SOAP (Simple Object Access Protocol) pour y exploiter une faille.
Un type d'attaque auquel on pouvait s'attendre
Pour Johannes Ullrich, chercheur au SANS Technology Institute, cette infection n’est clairement pas à minimiser. La mise en place d’un serveur « pot de miel » pour attirer l’infection a permis de se rendre compte de la virulence de l’attaque, presque 100 000 adresses IP uniques ayant été relevées. Les tentatives d’exécution de code parvenaient au serveur toutes les 5 à 10 minutes pour chaque adresse IP.
Les quelques sociétés de sécurité qui se sont penchées sur le sujet sont actuellement toutes d’accord : il s’agit bien d’une variante de Mirai, tant pour le code binaire que pour l’infrastructure de contrôle. Certains donnent quand même quelques informations supplémentaires, notamment BadCyber, qui relève que l’utilisation des commandes TR-064 a été détectée pour la première fois début novembre.
Point intéressant, un module adapté à ces commandes est apparu dans Metasploit (kit d’exploitation) quelques jours plus tard. On pouvait donc prévoir qu’une attaque de ce type finirait par avoir lieu. Pour BadCyber, cela revient à dire que « quelqu’un a décidé d’en faire une arme et de créer un ver Internet basé sur le code de Mirai ».
Et maintenant ?
Du côté de Deutsche Telekom, on indique que la situation rentre dans l’ordre et que le nombre d’appareils touchés est clairement en chute. Le fournisseur d’accès indique avoir pris des mesures, sans que l’on sache vraiment lesquelles. Visiblement, le mot d’ordre a été diffusé auprès des clients concernés pour qu’ils redémarrent leur routeur si les symptômes se manifestaient. Pour autant, il ne faut pas considérer le phénomène Mirai comme terminé, loin de là.
Les opportunités pour les pirates sont tout simplement trop nombreuses pour qu’ils s’en tiennent là. De très nombreux constructeurs ont lancé des produits connectés sans vraiment se préoccuper de la sécurité, ou plus simplement en ne la travaillant pas pour résister à ce type d’attaque. Beaucoup ne peuvent même pas être mis à jour, et ceux qui le peuvent utilisent parfois un mécanisme qui peut être retourné contre eux pour les infecter.
En outre, la libération du code source de Mirai et ses reconstructions autour d’exploitations de failles peuvent en faire une arme efficace dès que des vulnérabilités apparaissent sur certains produits connectés. Il faut donc s’attendre à d’autres vagues d’attaques, la réaction des entreprises concernées étant alors primordiale.
Par ailleurs, il n’est pas nécessaire que Mirai et ses variantes gardent le contrôle pendant plusieurs jours pour faire des dégâts. On rappellera ainsi l’énorme attaque coordonnée contre Dyn, entrainant la coupure de très nombreux sites web, dont quelques dizaines parmi les plus fréquentés, comme Airbnb, Twitter, GitHub, Reddit et autres. Il ne semble pas actuellement y avoir eu de telles conséquences avec l’attaque des routeurs Deutsche Telekom, mais ce pourrait être le cas de la prochaine.
Commentaires (50)
#1
:popcorn:
#2
#3
c’est con c’était hier le cyber monday, ça aurait été l’occasion de refourguer 900000 routeurs
#4
Les pare-feu existe pour une bonne raison…
#5
Eh ben voilà , ca y’est, on y est :
Qui se foutaient de ma poire, sur NXI, quand je disais que les box sont hackées (et pas que chez deutsch t!!) ?
Note : je vous rassure aussi les bleues , en france , on un accès total à vos box et vidéo légales stockées dessus .. je ne m’étalerai par sur le cloud … je suis fatigué d’expliquer.
Je vais avoir moins de grande gueule (ignorantes) pour me tenir le dragée haute !
je suis juste : " />
#6
…. sérieux ?
t’a l’air de t’y connaitre toi.
" />
#7
Un des modèles à peu près sérieux (mais tout aussi cassable ) c’est free : le firmware, fut une époque ,était uploadé dans la box (un gnu/linux modifié) ….
#8
… au moins eux communiquent … nos fai français ? ne rêvons pas.
#9
Donc ton modem adsl tu le met derrière un autre modem adsl pour avoir un pare feu ? (et oui j’ai le cas mais pas pour ça)
Lis la news, la le modem adsl est attaqué directement avant le parefeu via le service de configuration à distance non désactivable pour y exploiter une faille SOAP.
Faille non corrigée parce que le firmware des boxs n’est pas maintenu à jour.
Maintenant on ets en droit de se demander quels sont les failles dans nos boxes actuelles, surtout ceux des “opérateurs historiques”.
Parce que quand on sait que tout ça est externalisé et les teams virés après que le projet soit fini j’ai des doutes sur la fiabilité à long terme.
#10
L’expert en atterrissage de sonde sur Mars est de retour pour tout nous expliquer " />
#11
C’est celui d’Albanel à la grande époque ?
#12
#13
ça va être marrant quand tu vois la poule aux oefus d’or que représentent le marché français en terme de box :)
#14
DT ne dis pas quelles mesures il a pris, mais si le firmware de la box n’est pas trop pourri, le port TR064 concerné n’est ouvert que côté FAI, donc celui-ci est bien placé pour limiter le trafic vers ce port au sien propre.
#15
#16
Sinon, il y les firmware alternatifs et ouvert… pour ceux qui peuvent évidement…
#17
Protocole d’administration à distance ouvert depuis internet et pas uniquement depuis les IP de management du FAI ?
==> négligence
#18
Prochaine étape, les millions de téléphone Android sans mise à jour de sécurité " />
#19
#20
21/11/2016 oh c’est un wagonnet " />
#21
Ouais enfin ils attendent au lieu de redémarrer tous les boîtiers des clients, urgence oblige.
" />
#22
Bon, et c’est quand qu’on pirate nos Linky ? " />
Nous aussi on veut participer.
#23
#24
C’est une vengeance des habitants du quartier sensible du Mirail à tout les coups !
" />
#25
#26
#27
" /> " />
Pour eux, ce sera Double peine ! " />
#28
ben un pare-feu a déjà … 3 faiblesses (je te rassures j’en ai un … très costaud chez moi ;-) ) :
… bien sure la fermeture du port, mais dans quel sens (in/out)?
Par défaut un routeur/box bloque tout en entrée … ou alors fait changer de FAI.
Je ne te parlerai pas du backbone SFR(altice etc) de Drahi : c’est une véritable passoire !
(je tappe pas sur les techos SFr vu les charretes prévues ….)
#29
Le fournisseur peut filtrer tous les paquets dont le port cible est celui-ci, le client final ne peut de toute façon pas utiliser le port puisqu’il est bouffé par l’équipement réseau en amont.
#30
C’est bon, quitte à avoir des conneries comme ça, autant faire en sorte que l’équipement chez le client soit protégé, c’est pas le client qui décide d’utiliser cette boîte là, c’est le fournisseur qui lui passe et qui fait tout son possible pour que le type qui débarque avec son propre modem soit dans la plus grosse galère possible.
Que le fournisseur se bouffe toutes les merdes, mais faut pas que ça arrive chez le client.
Ils pourraient aussi bien ne pas ouvrir un port en entrée sur le modem/routeur et faire en sorte que le modem/routeur demande de temps en temps les mises à jours.
Tu me diras on peut toujours faire du mitm, à eux de chiffrer correctement et avoir une bonne gestion des certificats.
Au moment où ils ont décidé de louer du matériel au client au lieu de leurs faire acheter un modem, c’est leurs problème, pas le problème du client.
Les boîtes des fournisseurs d’accès ne bloquent pas tout en entrée visiblement, et c’est pas que chez les Allemands, tu proposes quel fournisseur d’accès du coup ? Ils ont tous la main sur le matériel il me semble, et je doute que ça soit l’équipement réseau qui demande régulièrement “dois-je communiquer mon état ?” aux serveurs du fournisseur de service.
#31
Ah mais je ne dis pas que tu es invulnérable derrière un pare-feu, mais disons que ca te protège pas mal dans le cas d’attaque de masse : aka l’attaquant ne va pas passer 30 minutes à tenter de cracker ton pare feu pour vérifier si derrière il y a bien la faille qui lui permettrait peut-être d’uploader sa saloperie.
Bien entendu, en cas d’attaque ciblé (laboratoire scientifique, industrie, cabinet d’avocat etc.) le pare feu seul ne suffit plus. C’est tout de même rarement le cas pour les particuliers lambda ou, comme ici ciblage d’un équipement précis et en masse.
#32
Oui aussi, ce qui n’est pas si normal que çà non plus en fait. #libérerlesports " />
#33
Pas si ca passe en IPv6 il me semble.
#34
je répète :
il vous faut considérer la box / modem du FAI comme un corps étranger à votre installation privée.
DONC :
une box Votre_parefeu vos équipements
C’est le minimum.
#35
le souci (quasi irrésolvable) c’est qu’en “out” les box (et même des parefeu perso dans une moindre mesure) laissent tout sortir c’est any to any !
Une fois le code chez toi, sur n’importe qu’elle machine … eh bien c’est une autoroute pour sortir !
Fût une époque , quand mes boutchous ne jouaient pas encore à tous ces jeux, je filtrais tout, même en sortie : jamais eu le moindre souci de sécu, ou anomalie de trafic.
Mais depuis que ca joue , c’est devenu ingérable d’ouvrir les ports en sortie … et puis le grand fait de l’expérimentation réseau … donc tout est ouvert en sortie …
Mais j’ai cloisonné : c’est super efficace… ses conneries ne sont que pour lui .. pas le reste !
#36
Le fabricant de parefeu Zyxel est offline en France …
https://www.zyxel.fr/
j’ai un pote qui a un USG 100 .. il doit être content de cette faille !
(Une faille de sécurité a été découverte dans des millions de routeurs dans le monde. Ces routeurs utilisent une base matérielle Zyxel)
#37
S’il faut expliquer à tata Janine le coup du any-to-any on est pas sortie de l’auberge, encore plus qu’en on serra en adressage publique complet en ipv6, ca va être marrant " />
J’ai limité le trafic par identification de l’utilisateur, mon pare feu est en frontal (ip public) pour l’une des connexions et derrière le modem adsl pour la seconde.
Bref, ca va être sportif niveau réseau dans les années à venir :)
#38
#39
je confirme.
Avec l’IPV6 en plus …. de grand moment de solitude.
Je pense qu’ils vont flinguer la vie privée.
#40
#41
#42
Tiens une petite pour le plaisir, continuez vers le Cloud :
Google s’est fait ouvrir la gueule !!!!!
“Il y aurait plus d’un million de comptes compromis et chaque jour 13000 s’ajouteraient.”
#43
Une autre pour mettre en forme ceux qui croientt à tor sur NXI
il y en a un paquet … allez venez les dissidents sur tor … pour que le système vous torpille en 5 sec. :http://www.silicon.fr/fbi-faille-zero-day-pister-utilisateurs-tor-163973.html)
#44
#45
Tu attaches encore de l’importance aux élucubrations de ce gars qui comprend rarement ce qu’il lit et répète ?
#46
#47
C’est un corps étranger tout court, mais si le fournisseur ne propose pas de mode pont tu t’éclates les boules sur le bord de la table pour t’authentifier et obtenir ton IP avec ton matériel.
#48
On a pas des masses d’IPv6 hors Free.
#49
Tout dépend de quel coté de la frontière tu te trouves…
https://www.google.fr/ipv6/statistics.html
France 13.4%
Belgique 47.8% (et je suis pret a parier que l’autre moitié, c’est le mobile)
Allemagne 26.7% (puisqu’on parle d’un opérateur allemand)
#50
non j’ai une livebox , et aucun souci.
je dirai même que je préfère cela qu’avoir le mode bridge de Free !
ip fixe = ciblage encore plus facile par les botnets!!