Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Mirai : une variante s’attaque aux routeurs, 900 000 clients Deutsche Telekom touchés

Pour une fois, un redémarrage suffit

Mirai : une variante s'attaque aux routeurs, 900 000 clients Deutsche Telekom touchés

Le 29 novembre 2016 à 15h20

Les objets connectés sont loin d’en avoir terminé avec le malware Mirai. La publication du code source a provoqué l’apparition de plusieurs variantes, et près d’un million de routeurs Deutsche Telekom ont été touchés, provoquant de sérieux disfonctionnements.

L’objectif de Mirai est de s’infiltrer dans les objets connectés pour créer des botnets. La première version a essentiellement visé des caméras connectées, mais la publication début octobre du code source faisait craindre une multiplication des attaques. À la fin du mois, nous indiquions que 500 000 appareils étaient toujours contaminés et que des signes évidents pointaient vers l’arrivée de variantes adaptées à d’autres situations.

900 000 clients touchés chez Deutsche Telekom

Depuis environ 48 heures, de nombreux clients ADSL en Allemagne se plaignent de problèmes avec leurs routeurs. Les symptômes sont un ralentissement très significatif de la connexion, entrainant des coupures de services pour la téléphonie et la télévision notamment. Rapidement, la piste d’une attaque est apparue, Mirai semblant alors le mieux placé. Entre temps, Deutsche Telekom a confirmé que 900 000 de ses clients avaient souffert de coupures sur les seules journées de dimanche et lundi.

Du propre aveu de Deutsche Telekom, entre 4 et 5 % de ses clients ont été touchés, le fournisseur d’accès en comptant 20 millions. Il indique sur sa page Facebook que l’attaque a bien tenté d’infecter les routeurs mais n’y est pas parvenue. Pourquoi ? Parce que le malware n’avait pas les droits nécessaires pour s’écrire dans l’unité de stockage des routeurs. La faille lui permettait simplement de passer et d’aller résider en mémoire vive. Conséquence, un redémarrage de l’équipement permettait à la situation de rentrer dans l’ordre.

Un mode opératoire très similaire pour l'exploitation

Comme l’indique notamment Kaspersky, un trafic suspect a été détecté sur le port TCP 7547, utilisé le plus souvent pour la spécification TR-064. Cette dernière décrit un mécanisme de configuration à distance des équipements DSL. Or, une porte ouverte pour une action distante, c’est précisément ce qui a fait le « succès » de Mirai, les constructeurs laissant disponible de tels canaux pour simplifier l’administration.

Le malware, qui présentait les contours d’une variante de Mirai, s’est attaqué à une vulnérabilité exploitable à distance dans les routeurs Zyxel, chez qui Deutsche Telekom se fournit. Comme l’explique le SANS Technology Institute, Mirai cible ces appareils de la même manière qu’il visait les caméras connectées, en adaptant simplement sa méthode. Il cherche ainsi un service SOAP (Simple Object Access Protocol) pour y exploiter une faille.

Un type d'attaque auquel on pouvait s'attendre

Pour Johannes Ullrich, chercheur au SANS Technology Institute, cette infection n’est clairement pas à minimiser. La mise en place d’un serveur « pot de miel » pour attirer l’infection a permis de se rendre compte de la virulence de l’attaque, presque 100 000 adresses IP uniques ayant été relevées. Les tentatives d’exécution de code parvenaient au serveur toutes les 5 à 10 minutes pour chaque adresse IP.

Les quelques sociétés de sécurité qui se sont penchées sur le sujet sont actuellement toutes d’accord : il s’agit bien d’une variante de Mirai, tant pour le code binaire que pour l’infrastructure de contrôle. Certains donnent quand même quelques informations supplémentaires, notamment BadCyber, qui relève que l’utilisation des commandes TR-064 a été détectée pour la première fois début novembre.

Point intéressant, un module adapté à ces commandes est apparu dans Metasploit (kit d’exploitation) quelques jours plus tard. On pouvait donc prévoir qu’une attaque de ce type finirait par avoir lieu. Pour BadCyber, cela revient à dire que « quelqu’un a décidé d’en faire une arme et de créer un ver Internet basé sur le code de Mirai ».

Et maintenant ?

Du côté de Deutsche Telekom, on indique que la situation rentre dans l’ordre et que le nombre d’appareils touchés est clairement en chute. Le fournisseur d’accès indique avoir pris des mesures, sans que l’on sache vraiment lesquelles. Visiblement, le mot d’ordre a été diffusé auprès des clients concernés pour qu’ils redémarrent leur routeur si les symptômes se manifestaient. Pour autant, il ne faut pas considérer le phénomène Mirai comme terminé, loin de là. 

Les opportunités pour les pirates sont tout simplement trop nombreuses pour qu’ils s’en tiennent là. De très nombreux constructeurs ont lancé des produits connectés sans vraiment se préoccuper de la sécurité, ou plus simplement en ne la travaillant pas pour résister à ce type d’attaque. Beaucoup ne peuvent même pas être mis à jour, et ceux qui le peuvent utilisent parfois un mécanisme qui peut être retourné contre eux pour les infecter.

En outre, la libération du code source de Mirai et ses reconstructions autour d’exploitations de failles peuvent en faire une arme efficace dès que des vulnérabilités apparaissent sur certains produits connectés. Il faut donc s’attendre à d’autres vagues d’attaques, la réaction des entreprises concernées étant alors primordiale.

Par ailleurs, il n’est pas nécessaire que Mirai et ses variantes gardent le contrôle pendant plusieurs jours pour faire des dégâts. On rappellera ainsi l’énorme attaque coordonnée contre Dyn, entrainant la coupure de très nombreux sites web, dont quelques dizaines parmi les plus fréquentés, comme Airbnb, Twitter, GitHub, Reddit et autres. Il ne semble pas actuellement y avoir eu de telles conséquences avec l’attaque des routeurs Deutsche Telekom, mais ce pourrait être le cas de la prochaine.

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Eh ben voilà , ca y’est, on y est :

Qui se foutaient de ma poire, sur NXI, quand je disais que les box sont hackées (et pas que chez deutsch t!!) ?



Note : je vous rassure aussi les bleues , en france , on un accès total à vos box et vidéo légales stockées dessus .. je ne m’étalerai par sur le cloud … je suis fatigué d’expliquer.



Je vais avoir moins de grande gueule (ignorantes) pour me tenir le dragée haute !



je suis juste : <img data-src=" />

votre avatar

…. sérieux ?



t’a l’air de t’y connaitre toi.



<img data-src=" />

votre avatar

Un des modèles à peu près sérieux (mais tout aussi cassable ) c’est free : le firmware, fut une époque ,était uploadé dans la box (un gnu/linux modifié) ….

votre avatar

… au moins eux communiquent … nos fai français ? ne rêvons pas.

votre avatar

Donc ton modem adsl tu le met derrière un autre modem adsl pour avoir un pare feu ? (et oui j’ai le cas mais pas pour ça)



Lis la news, la le modem adsl est attaqué directement avant le parefeu via le service de configuration à distance non désactivable pour y exploiter une faille SOAP.



&nbsp;Faille non corrigée parce que le firmware des boxs n’est pas maintenu à jour.



&nbsp;Maintenant on ets en droit de se demander quels sont les failles dans nos boxes actuelles, surtout ceux des “opérateurs historiques”.



Parce que quand on sait que tout ça est externalisé et les teams virés après que le projet soit fini j’ai des doutes sur la fiabilité à long terme.

votre avatar

L’expert en atterrissage de sonde sur Mars est de retour pour tout nous expliquer <img data-src=" />

votre avatar

C’est celui d’Albanel à la grande époque ?

votre avatar







jb18v a écrit :



ça c’est sur la news ZoneTelechargement <img data-src=" />



ben ça promet ces machins, surtout de s’attaquer aux routeurs et/ou box..







tant qu’ils bouffent pas ma tribu d’openwrts, tout va bien <img data-src=" />







darkbeast a écrit :



c’est con c’était hier le cyber monday, ça aurait été l’occasion de refourguer 900000 routeurs





bah surtout qu’on assiste à la propagation de 900 000 NSA-compliants individuels

ca va se répandre aussi vite que les APN sur les smartphones à cette vitesse







CryoGen a écrit :



Les pare-feu existe pour une bonne raison…





a) faire causer albanel

b) manque des baffes aux utilisateurs surtout.. voir la news du metro en rade hier







ledufakademy a écrit :



… au moins eux communiquent … nos fai français ? ne rêvons pas.





ton fai francais a que du desinteret a communiquer, otez vous immédiatement ce fantasme de vos pensées ;)



votre avatar

ça va être marrant quand tu vois la poule aux oefus d’or que représentent le marché français en terme de box :)

votre avatar

DT ne dis pas quelles mesures il a pris, mais si le firmware de la box n’est pas trop pourri, le port TR064 concerné n’est ouvert que côté FAI, donc celui-ci est bien placé pour limiter le trafic vers ce port au sien propre.

votre avatar







NeedSumSleep a écrit :



ça va être marrant quand tu vois la poule aux oefus d’or que représentent le marché français en terme de box :)







arretez vos fantasmes, ca n’arrivera pas :)


votre avatar

Sinon, il y les firmware alternatifs et ouvert… pour ceux qui peuvent évidement…

votre avatar

Protocole d’administration à distance ouvert depuis internet et pas uniquement depuis les IP de management du FAI ?



&nbsp;==&gt; négligence

votre avatar

Prochaine étape, &nbsp;les millions de téléphone Android sans mise à jour de sécurité <img data-src=" />

votre avatar







isamu1024 a écrit :



Prochaine étape, &nbsp;les millions de téléphone Android sans mise à jour de sécurité <img data-src=" />





Tu as un wagon de retard <img data-src=" /> (enfin pour le coup, c’est pas une faille de sécurité, c’est une backdoor)

nextinpact.com Next INpact


votre avatar

21/11/2016 oh c’est un wagonnet <img data-src=" />

votre avatar

S’il faut expliquer à tata Janine le coup du any-to-any on est pas sortie de l’auberge, encore plus qu’en on serra en adressage publique complet en ipv6, ca va être marrant <img data-src=" />



J’ai limité le trafic par identification de l’utilisateur, mon pare feu est en frontal (ip public) pour l’une des connexions et derrière le modem adsl pour la seconde.



Bref, ca va être sportif niveau réseau dans les années à venir :)

votre avatar







ledufakademy a écrit :



…. sérieux ?



t’a l’air de t’y connaitre toi.



<img data-src=" />





c’est un bouclier thermique


votre avatar

je confirme.



Avec l’IPV6 en plus …. de grand moment de solitude.



Je pense qu’ils vont flinguer la vie privée.

votre avatar







ledufakademy a écrit :



ben un pare-feu a déjà … 3 faiblesses (je te rassures j’en ai un … très costaud chez moi ;-) ) :

une stack ip plus ou moins secure, un hardware backdooré(hélas, 1000x hylas ..mais y’a des pistes : pcengine)

des ports fatalement ouverts …sinon pas de communication , hein ;-)



Je comprends pas ton truc.. cest pas rapport aux box cest ca?



La stack IP, cest le dev, si tu passes par un pfsence ou du vyatta, cest bon non?

Le hardware backdooré, tu cites pcengines, mais un EdgeRouter ou du Microtik cest “secure” non?





Enfin au final, le plus important cest quand même la sensibilisation de l’utilisateur afin qu’il n’installe pas nimporte quoi sur le réseau :)


votre avatar







PtiDidi a écrit :



Je comprends pas ton truc.. cest pas rapport aux box cest ca?



La stack IP, cest le dev, si tu passes par un pfsence ou du vyatta, cest bon non?

Le hardware backdooré, tu cites pcengines, mais un EdgeRouter ou du Microtik cest “secure” non?





Enfin au final, le plus important cest quand même la sensibilisation de l’utilisateur afin qu’il n’installe pas nimporte quoi sur le réseau :)





oui la stack ip (pile ip , le “noyau” réseau du parefeu) est importante, elle doit être durcie : pfsense c du bsd derrière c costaud. Et souvent avec un pfsense ou un pare-feu matériel , cette pile est durcie … pas sur un desktop etc.

Ensuite et je me répète ton pfsense est PAtriot Compliant … ou encore le hardware (chiset réqseau, efi etc …) que tu vas utiliser est peut-être surement backdooré .. il faut le savoir … et l’accepter !



En hardware tu as pcengine qui propose des bon chti boitier réseau pour faire un parefeu.



L’annonce de Kaspersky OS est peu être une bonne initiative : j’aimerai connaitre le matériel utilisé !!!



Mais force est de constater que … les failles existent, même sur des piles ip durcies … cf Zyxel etc …

Donc : il faut se protéger de manière conceptuelle.

Personnellement je ne mets plus mon pare-feu hardware (xtm515, watchguard) en frontal : c la box du fai qui se prends toute la merde.



Vyata ? bof, j’ai un peu joué avec : je ne suis pas archi convaincu de sa robustesse (j’ai testé avec un Edgemax router poe5 … il est à vendre à ce sujet ;-)).

Ubiquiti est Patriot act compliant … lol



… pas facile hein ?



oui il faut sensibiliser c’est 90% du boulot pour avoir un environnement secure.



votre avatar

Tiens une petite pour le plaisir, continuez vers le Cloud :



Google s’est fait ouvrir la gueule !!!!!

“Il y aurait plus d’un million de comptes compromis et chaque jour 13000 s’ajouteraient.”

votre avatar

Une autre pour mettre en forme ceux qui croientt à tor sur NXI

il y en a un paquet … allez venez les dissidents sur tor … pour que le système vous torpille en 5 sec. :http://www.silicon.fr/fbi-faille-zero-day-pister-utilisateurs-tor-163973.html)

votre avatar







ledufakademy a écrit :



Tiens une petite pour le plaisir, continuez vers le Cloud :



Google s’est fait ouvrir la gueule !!!!!

“Il y aurait plus d’un million de comptes compromis et chaque jour 13000 s’ajouteraient.”





Source ?

Serieusement, hein.



votre avatar

Tu attaches encore de l’importance aux élucubrations de ce gars qui comprend rarement ce qu’il lit et répète ?

votre avatar







fred42 a écrit :



Tu attaches encore de l’importance aux élucubrations de ce gars qui comprend rarement ce qu’il lit et répète ?





Non, mais coup double ici.

Soit il a vu un lien intéressant qu’il n’a surement pas compris, et alors j’ai gagné une info.

Soit il fanfaronne et tout le monde voit bien qu’il raconte n’imp.

Benef dans les 2 cas


votre avatar

C’est un corps étranger tout court, mais si le fournisseur ne propose pas de mode pont tu t’éclates les boules sur le bord de la table pour t’authentifier et obtenir ton IP avec ton matériel.

votre avatar

On a pas des masses d’IPv6 hors Free.

votre avatar

Tout dépend de quel coté de la frontière tu te trouves…

google.fr GoogleFrance 13.4%

Belgique 47.8% (et je suis pret a parier que l’autre moitié, c’est le mobile)

Allemagne 26.7% (puisqu’on parle d’un opérateur allemand)

votre avatar

non j’ai une livebox , et aucun souci.

je dirai même que je préfère cela qu’avoir le mode bridge de Free !

ip fixe = ciblage encore plus facile par les botnets!!

votre avatar

Ouais enfin ils attendent au lieu de redémarrer tous les boîtiers des clients, urgence oblige.



<img data-src=" />

votre avatar

Bon, et c’est quand qu’on pirate nos Linky ? <img data-src=" />

Nous aussi on veut participer.

votre avatar







scientifik_u a écrit :



Tu as un wagon de retard <img data-src=" /> (enfin pour le coup, c’est pas une faille de sécurité, c’est une backdoor)

nextinpact.com Next INpact





Ce serait mieux si on connaissait tous les téléphones affectés.

La moitié vient de modèles inconnus et rien ne dit que les grandes marques sont à l’abri.


votre avatar

C’est une vengeance des habitants du quartier sensible du Mirail à tout les coups !



<img data-src=" />

votre avatar







XMalek a écrit :



Donc ton modem adsl tu le met derrière un autre modem adsl pour avoir un pare feu ? (et oui j’ai le cas mais pas pour ça)



Lis la news, la le modem adsl est attaqué directement avant le parefeu via le service de configuration à distance non désactivable pour y exploiter une faille SOAP.

.







Le pare feu doit être AVANT (y compris de manière software) tous les autres services y compris celui de configuration. Si le service SOAP est disponible depuis internet et qu’il n’est pas possible de limiter via un pare feu (même sommaire, genre configuration du service, limitation ip entrante): c’est une faille de la box et c’est tout.



J’ai bien lu la news. Attention, je ne blâme pas les utilisateurs dans ce cas ci.


votre avatar







ledufakademy a écrit :



…. sérieux ?



t’a l’air de t’y connaitre toi.



<img data-src=" />







Bah oui je m’y connais… Un pare-feu réglé pour limiter l’accès à se service depuis les IP de l’opérateur aurait déjà rendu bien plus difficile, voir impossible l’exécution de cette faille. Un problème avec çà ou bien ?


votre avatar

<img data-src=" /> <img data-src=" />



Pour eux, ce sera Double peine ! <img data-src=" />

votre avatar

ben un pare-feu a déjà … 3 faiblesses (je te rassures j’en ai un … très costaud chez moi ;-) ) :





  • une stack ip plus ou moins secure,

  • un hardware backdooré(hélas, 1000x hylas ..mais y’a des pistes : pcengine)

  • des ports fatalement ouverts …sinon pas de communication , hein ;-)







    … bien sure la fermeture du port, mais dans quel sens (in/out)?

    Par défaut un routeur/box bloque tout en entrée … ou alors fait changer de FAI.



    Je ne te parlerai pas du backbone SFR(altice etc) de Drahi : c’est une véritable passoire !

    (je tappe pas sur les techos SFr vu les charretes prévues ….)

votre avatar

Le fournisseur peut filtrer tous les paquets dont le port cible est celui-ci, le client final ne peut de toute façon pas utiliser le port puisqu’il est bouffé par l’équipement réseau en amont.

votre avatar

C’est bon, quitte à avoir des conneries comme ça, autant faire en sorte que l’équipement chez le client soit protégé, c’est pas le client qui décide d’utiliser cette boîte là, c’est le fournisseur qui lui passe et qui fait tout son possible pour que le type qui débarque avec son propre modem soit dans la plus grosse galère possible.



Que le fournisseur se bouffe toutes les merdes, mais faut pas que ça arrive chez le client.

Ils pourraient aussi bien ne pas ouvrir un port en entrée sur le modem/routeur et faire en sorte que le modem/routeur demande de temps en temps les mises à jours.

Tu me diras on peut toujours faire du mitm, à eux de chiffrer correctement et avoir une bonne gestion des certificats.

Au moment où ils ont décidé de louer du matériel au client au lieu de leurs faire acheter un modem, c’est leurs problème, pas le problème du client.



Les boîtes des fournisseurs d’accès ne bloquent pas tout en entrée visiblement, et c’est pas que chez les Allemands, tu proposes quel fournisseur d’accès du coup ? Ils ont tous la main sur le matériel il me semble, et je doute que ça soit l’équipement réseau qui demande régulièrement “dois-je communiquer mon état ?” aux serveurs du fournisseur de service.

votre avatar

Ah mais je ne dis pas que tu es invulnérable derrière un pare-feu, mais disons que ca te protège pas mal dans le cas d’attaque de masse : aka l’attaquant ne va pas passer 30 minutes à tenter de cracker ton pare feu pour vérifier si derrière il y a bien la faille qui lui permettrait peut-être d’uploader sa saloperie.



Bien entendu, en cas d’attaque ciblé (laboratoire scientifique, industrie, cabinet d’avocat etc.) le pare feu seul ne suffit plus. C’est tout de même rarement le cas pour les particuliers lambda ou, comme ici ciblage d’un équipement précis et en masse.

votre avatar

Oui aussi, ce qui n’est pas si normal que çà non plus en fait. #libérerlesports <img data-src=" />

votre avatar

Pas si ca passe en IPv6 il me semble.

votre avatar

je répète :



il vous faut considérer la box / modem du FAI comme un corps étranger à votre installation privée.



DONC :



une box Votre_parefeu vos équipements



C’est le minimum.

votre avatar

le souci (quasi irrésolvable) c’est qu’en “out” les box (et même des parefeu perso dans une moindre mesure) laissent tout sortir c’est any to any !

Une fois le code chez toi, sur n’importe qu’elle machine … eh bien c’est une autoroute pour sortir !



Fût une époque , quand mes boutchous ne jouaient pas encore à tous ces jeux, je filtrais tout, même en sortie : jamais eu le moindre souci de sécu, ou anomalie de trafic.



Mais depuis que ca joue , c’est devenu ingérable d’ouvrir les ports en sortie … et puis le grand fait de l’expérimentation réseau … donc tout est ouvert en sortie …

Mais j’ai cloisonné : c’est super efficace… ses conneries ne sont que pour lui .. pas le reste !

votre avatar

Le fabricant de parefeu Zyxel est offline en France …



https://www.zyxel.fr/



j’ai un pote qui a un USG 100 .. il doit être content de cette faille !



(Une faille de sécurité a été découverte dans des millions de routeurs dans le monde. Ces routeurs utilisent une base matérielle Zyxel)

votre avatar

:popcorn:

votre avatar







jackjack2 a écrit :



:popcorn:





ça c’est sur la news ZoneTelechargement <img data-src=" />



ben ça promet ces machins, surtout de s’attaquer aux routeurs et/ou box..


votre avatar

c’est con c’était hier le cyber monday, ça aurait été l’occasion de refourguer 900000 routeurs

votre avatar

Les pare-feu existe pour une bonne raison…

Mirai : une variante s’attaque aux routeurs, 900 000 clients Deutsche Telekom touchés

  • 900 000 clients touchés chez Deutsche Telekom

  • Un mode opératoire très similaire pour l'exploitation

  • Un type d'attaque auquel on pouvait s'attendre

  • Et maintenant ?

Fermer