Le malware Mirai s’en prend aux passerelles cellulaires, habituellement utilisées pour connecter certains équipements à Internet. Il est à l’origine de quelques-unes des plus vastes attaques distribuées par déni de service jamais enregistrées. Il fleurit malheureusement là où les consignes élémentaires de sécurité ne sont pas respectées.
Un signal d’alarme a été tiré jeudi dernier par l’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team). Dans son bulletin, l’équipe indique que le constructeur Sierra Wireless est touché par un malware du nom de « Mirai ». Ses passerelles cellulaires AirLink sont attaquées et, une fois contaminées, sont capables de réunir une foule d’appareils connectés pour en faire une armée. En d’autres termes, un botnet d’objets connectés.
Ce sont plus précisément les modèles LS300, GX400, GX/ES440, GX/ES450 et RV50 qui sont concernés. Dans son propre bulletin de sécurité, Sierra Wireless indique que les infections réussissent quand l’interface de contrôle ACEmanager est utilisée sans que le mot de passe par défaut n’ait jamais été changé. Une règle de sécurité pourtant élémentaire en entreprise.
Des mots de passe par défaut non modifiés
L’entreprise indique : « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». En utilisant la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle, donc d’attaque.
Les conseils sont donc simples pour les entreprises qui utilisent des produits Sierra Wireless, et plus globalement n’importe quel produit du même acabit. Le changement du mot de passe par défaut est la priorité. Le constructeur indique que les administrateurs doivent vérifier l’ensemble des accès extérieurs et couper tout ce qui n’est pas nécessaire, pour réduire la surface d’attaque. Si de tels accès sont requis, il conseille d’utiliser la redirection de ports, et surtout pas les fonctions DMZ Host et Public Mode.
La présence du malware se signale quant à elle de plusieurs manières, notamment un trafic anormal sur le port TCP 23. Le port TCP 48101 est utilisé par le malware pour tout ce qui touche aux instructions, émises et reçues. Si la passerelle est utilisée pour une attaque DDoS, le trafic sortant sera bien sûr très élevé. Pour information, OVH a indiqué que lors des plus fortes attaques de ces dernières semaines, des pics de 1 Tb/s avaient été enregistrés. Il rappelle également, tout comme Ars Technica récemment, que si Mirai a beaucoup été mis en avant, un autre malware – Bashlite – participait lui aussi aux manoeuvres.
D'autres rapports à prévoir
Cela fait environ un mois que Mirai sévit, avec une intensification probable à prévoir, due à la publication de son code source il y a deux semaines. Actuellement, les estimations font état d’au moins 1,2 million d’appareils contaminés, chacun pouvant contrôler un parc d’autres appareils, puisque ces passerelles sont notamment utilisées dans les chaines industrielles, les caméras de sécurité, etc.
En outre, il est probable que si Mirai réussit ce type de contrôle, d’autres malwares peuvent en faire autant, non seulement sur les produits Sierra Wireless, mais également sur d’autres équipements du même acabit. Il ne serait donc pas étonnant de voir arriver d’autres bulletins de sécurité dans les jours et semaines qui viennent
Commentaires (27)
Et que dire de électroménager connecté dernier cri.
" />
Bientot un botnet de frigo Laden ou de lave linge Samsumg
User : admin
" />
Password : admin
C’est bien plus qu’une classe de matériel, mais c’est toujours le même principe : le mot de passe par défaut n’est pas changé. Et parfois, ce n’est pas de la faute du propriétaire, puisque même en changeant le mot de passe via l’interface Web proposée, ça ne change pas celui du système, toujours accessible en ssh ou en telnet.
Il fleurit malheureusementlogiquement là où les consignes élémentaires de sécurité ne sont pas respectées.
Les lave-linge Samsung ça sera un peu les kamikazes de l’armée des botnet.
Tu veux parler de ça ?
Je l’ai toujours dit ! 
" />
Je vais retourner prendre soin de mes objets non connectés…
c’est ça de vouloir mettre du connecté partout et avoir des devs manchots
Voilà.
" />
En gros il faudrait qu’à la première installation/configuration du matériel il soit obligé de modifier les identifiants/mot de passe par défaut sans quoi il serait impossible de pouvoir continuer l’installation.
" />
Il est plus que temps que les États légifèrent et mettent en place des règles de sécurité exigibles sur tout objet connecté.
On pourrait penser par exemple:
Interdiction des mots de passe par défaut,
Utilisation de mises à jour signées par le constructeur
Obligation de mise à jour sur les failles de sécurité pendant un temps déterminé
Tant que ça ne sera pas une norme légale on pourra toujours aller se brosser et laissera les serveurs connectés à Internet être victime de groupes utilisant des réseaux de zombies pour réaliser des attaques et des DDOS à volonté.
On ne rigole pas ! J’avais commencé par libre “bonnet” au lieu de botnet. Des bonnets dans un lave-linge ça n’a rien d’extraordinaire d’abord.
Il me semble avoir lu (je ne sais plusoù sinon je mettrais le lien
" />
) que l’auteur du malware a publié son code source pcq il en avait assez profité.
Peut etre que je me trompe de malware mais ca en était un qui permettait de faire des botnets d’objets connectés.
C’est dans le read.me du code source
Ah ! Poisse, voilà e qui arrive quand on ne se relit pas est libriste.