Posté le août 11, 2021 à 21:12
DES MILLIONS DE ROUTEURS ARCADYAN MENACÉS PAR UNE NOUVELLE FAILLE DE CONTOURNEMENT
Des hackers exploitent activement une vulnérabilité de contournement d’authentification pour accéder aux routeurs domestiques afin de corrompre les appareils avec une variante de botnet Mirai qui effectue des attaques DDoS. Cette évolution intervient deux jours seulement après la divulgation publique de cette vulnérabilité.
L’attaque DDoS est répertoriée sous le nom de CVE-2021-20090 avec un score CVSS de 9.9. La vulnérabilité exploite une vulnérabilité de traversée de chemin dans l’interface web des routeurs utilisant le firmware Arcadyan. Cette vulnérabilité peut permettre à un attaquant distant non authentifié de contourner les processus d’authentification.
La récente activité réalisée au moyen de ce bug a été découverte par les chercheurs du Juniper Threat Labs. Selon les recherches, l’objectif du piratage était de lancer des charges utiles sur une variante du botnet Mirai et d’exploiter une vulnérabilité du système ciblant les appareils de l’Internet des objets (IdO).
Comment s’est déroulée l’attaque
Le rapport sur cette vulnérabilité a été publié par Tenable le 3 août. Selon Tenable, le problème existe depuis une dizaine d’années et a affecté une vingtaine de modèles de différents fournisseurs, dont Vodafone, Verizon, Telus, Telstra, Orange, Deutsche Telekom, Buffalo, British Telecom, Beeline et Asus.
Ce qui a attiré l’attention des chercheurs sur cette vulnérabilité, c’est la détection de schémas d’attaque similaires. La variante de Mirai que les hackers utilisent pour exploiter la vulnérabilité ressemble beaucoup à une autre attaque découverte en mars.
Une autre étude menée par les chercheurs de Juniper a également mis en évidence une vulnérabilité similaire et les chercheurs ont observé de près les actions des hackers. Parmi les cas analysés, le bug récent est le dernier à avoir été utilisé par les hackers. La vulnérabilité de traversée CVE-2021-20090 pourrait être utilisée par les hackers pour contourner les processus d’authentification.
Une fois le bug exploité avec succès, un attaquant peut contourner les barrières d’authentification et accéder aux données sensibles de l’utilisateur, telles que des jetons de requête valides qui pourraient être utilisés pour modifier les paramètres du routeur.
La semaine dernière, un rapport de Juniper Threat Labs indiquait que ses chercheurs « ont identifié certains schémas d’attaque qui tentent d’exploiter cette vulnérabilité dans la nature en provenance d’une adresse IP située à Wuhan, dans la province du Hubei, en Chine ». La stratégie consistant à utiliser la variante Mirai sur les routeurs reflète une technique similaire utilisée par l’unité 42 de Palo Alto Networks en mars.
La recherche a également ajouté que « La similitude pourrait indiquer que ce soit le même hacker qui est à l’origine de cette nouvelle attaque et qui tente d’améliorer son arsenal d’infiltration avec une autre vulnérabilité fraîchement divulguée. »
Selon la recherche de Juniper Labs, l’origine de l’attaque en Chine, car certains des modèles d’attaque ont été détectés à Wuhan, dans la province de Hubei, en Chine. En raison de cette similitude, les chercheurs ont conclu la nouvelle attaque a été menée par le même hacker.
Plusieurs vulnérabilités ont été exploitées
CVE-2021-20090 n’était pas la seule vulnérabilité exploitée par ces hackers. Ils ont également exploité d’autres vulnérabilités telles que la CVE-2020-29557, une exécution de code à distance par pré-authentification dans les dispositifs D-Link DIR 825 R1. Ils ont également exploité les CVE-2021-1497 et CVE-2021-1498, une vulnérabilité d’injection de commande dans Cisco HyperFlex (HX).
Les autres vulnérabilités exploitées comprennent la vulnérabilité de dépassement de tampon CVE-2021-31755 dans Tenda AC11, provoquant une exécution de code arbitraire. L’autre était la faille CVE-2021-22502 d’exécution de code à distance dans Micro Focus Access Manager.
Afin de réduire tout risque de compromission des routeurs et des appareils des utilisateurs, il a été conseillé à ces derniers de mettre à jour le micrologiciel de leur routeur à la dernière version.
Les chercheurs ont ajouté qu' »il est clair que les attaquants gardent un œil sur toutes les vulnérabilités divulguées. Chaque fois qu’un PoC d’exploitation est publié, il leur faut souvent très peu de temps pour l’intégrer à leur plateforme et lancer des attaques ». Dès lors, effectuer des mises à jour régulières sur les appareils permettra de réduire l’exposition à ces attaques.
La raison pour laquelle les appareils IdO sont vulnérables aux attaques est due aux paramètres par défaut. L’autre facteur qui a également augmenté la vulnérabilité sur les appareils touchés est que les utilisateurs n’installent pas de mises à jour régulières sur leurs appareils.
Six failles de sécurité connues et trois failles de sécurité inconnues ont été exploitées dans les attaques. Les appareils visés par le piratage comprennent les pare-feu DNS-320 de D-Link, les routeurs sans fil WF2419 de Netis, les commutateurs ProSAFE Plus de Netgear et les VPN SSL de SonicWall.
Mirai est une attaque originaire du Japon, dont la traduction est « futur ». Le nom du logiciel malveillant est utilisé pour décrire une faille qui crée plusieurs variantes. Cela le rend difficile à détecter sur un seul appareil. Il est utilisé depuis plusieurs années pour cibler les appareils qui sont mis en réseau via Linux. La mise en réseau vise à intégrer ces appareils dans un réseau d’attaques plus vaste. Il effectue cette action en transformant ces appareils en bots qui peuvent être contrôlés à distance.
