La publication d'une mise à jour de sécurité ne signifie pas nécessairement la fin des attaques qui l'exploitent : encore faut-il que le correctif soit massivement déployé... tel est en substance le constat opéré par les chercheurs en sécurité de Fortinet, après avoir constaté la recrudescence d'attaques relatives à d'anciennes failles de sécurité, ciblant des routeurs populaires de la marque D-Link, alors que ces dernières ont été corrigées depuis près de dix ans.
« FortiGuard Labs a constaté une augmentation de l'activité de deux botnets différents en octobre et novembre 2024 », indique l'éditeur. Ces deux botnets – des réseaux de machines infectées à l'insu de leur propriétaire, utilisées ensuite dans un second temps, par exemple pour mener des attaques par déni de service – se présentent comme de vieilles connaissances.
Le premier, baptisé Ficora, est une variante de Mirai, un botnet qui avait défrayé la chronique en 2016, en alimentant une attaque dirigée contre l'infrastructure de Dyn, un prestataire chargé de la gestion de la zone DNS de nombreux sites américains. Le second, surnommé Capsaicin, n'est quant à lui qu'une énième variante d'un malware historique, Kaiten, conçu pour cibler l'environnement logiciel des routeurs.
Via ses outils de télémétrie, Fortinet explique avoir mesuré plusieurs pics d'activité lié à ces deux botnets. Pour Ficora, l'éditeur signale une attaque partie de serveurs basés aux Pays-bas, et des incidents répertoriés dans le monde entier, ce qui laisse supposer à ses chercheurs une attaque de type pêche au chalut, sans que ne soit visé une région du monde ou un pays particulier. L'attaque liée à Capscaicin est quant à elle centrée sur l'Asie du Sud-Est, remarque Fortinet, sans en tirer de conclusion particulière.
Le vecteur d'attaque se révèle quant à lui bien spécifique. « Ces botnets se propagent fréquemment via des vulnérabilités D-Link documentées qui permettent aux attaquants distants d'exécuter des commandes malveillantes via une action GetDeviceSettings sur l'interface HNAP (Home Network Administration Protocol) », indique Fortinet, qui rappelle que certaines de ces vulnérabilités (CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 et CVE-2024-33112) ont été dévoilées il y a près de dix ans.
Parmi les routeurs susceptibles d'être touchés, Fortinet évoque le D-Link DIR-645 avec un firmware 1.04b12 ou version antérieure, le D-Link DIR-806, le D-Link GO-RT-AC750 en revA_v101b03, le GO-RT-AC750 en revB Wv200b02 ou le D-Link DIR-845L en version v1.01KRb03 et antérieures. Des modèles anciens, considérés comme « en fin de vie » par le fabricant, qui n'en assure donc plus le support. Si, du côté de l'éditeur, on invite à se tourner vers des solutions logicielles dédiées à la sécurité, le fabricant préconise quant à lui de remplacer les appareils concernés.
« D-Link recommande de cesser d'utiliser ces produits et prévient que leur utilisation continue peut présenter des risques pour les autres appareils qui y sont connectés. Si vous choisissez de continuer à utiliser ces appareils, assurez-vous qu'ils sont mis à jour avec la dernière version connue du micrologiciel [...]. De plus, les utilisateurs doivent fréquemment mettre à jour le mot de passe unique d'accès à la configuration Web de l'appareil et toujours activer le chiffrement Wi-Fi avec un mot de passe fort et unique », indique le fabricant dans ses propres bulletins de sécurité relatifs à des appareils anciens.
Commentaires (7)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 30/12/2024 à 16h05
Comment peut-on affirmer après ce genre de news que l'obsolescence programmée est difficile à prouver alors que les fabricants refusent d'assumer leur maintenance après parfois deux ans seulement ?
Malheureusement, les autres concurrents ne sont pas mieux à ma connaissance. Ils feraient mieux de faire appel à la communauté open source pour gérer leurs micrologiciels une fois que leur maturité parait trop avancée, cela éviterait de créer des déchets artificiellement.
Le 30/12/2024 à 16h15
Le 30/12/2024 à 16h29
Synology sur les routeurs fournis des mises à jour par exemple depuis 2016 sur le RT2600ac, la dernière n'a que quelques semaines/mois.
Mais sur du D-Link, si t'as 2 ans de mises à jour t'es heureux. :/
Le 30/12/2024 à 18h09
Le 31/12/2024 à 01h24
Un régulateur national, européen, ne pourrait-il pas siffler la fin de la récréation ?
Conserver du matériel fonctionnel tant qu'il l'est (et correspond au besoin) m'apparait sain, et conforme à une bonne éducation quant à l'approche à adopter universellement.
Le 31/12/2024 à 10h04
De plus, ces routeurs ne sont pas nécéssairement reliés à l'internet, ou alors utilisés comme simples point d'accès wifi, sans configuration internet, l'installation des mises à jour dans ce cas n'a que peu d'impact sur le risque ou le fonctionnement donc on ne peut pas parler d'onsolescence dans ce cas, par contre, il faudrait faire en sorte que ceux qui ont accès au net soient suivis et informés.
Le 31/12/2024 à 18h25
Reste la question de comment sont faites les mises à jour. Si il y a une action manuelle, toutes les chance que la plupart des utilisateurs ne le fasse pas.
Visiblement, l'UE pousse aussi pour des firmware signés, ce qui est une bonne chose d'un point de vue sécurité, mais pourrait avoir un impact sur l'Open source. Pourra t'on mettre un dd-wrt sur un routeur par exemple ?
Un ingénieur radio qui a étudié le projet de cette directive me disait qu'en dehors de la sécurisation des équipements, il y a une volonté d'empêcher l'émission radio sur des fréquences et/ou à des puissances interdites en Europe, ce que l'open source peut permettre si le matériel est compatible. Ça fait plusieurs mois donc peut être que ça a bougé depuis, mais c'est inquiétant sur ce point. Si quelqu'un a des précisions là dessus, ça m'intéresse.