Un botnet puissant exploite un routeur critique bug qui peut ne jamais être corrigé

Un routeur Dasan Networks similaire à celui-ci est exploité activement par le puissant réseau de zombies Satori.Un routeur Dasan Networks similaire à celui-ci est sous exploitation active par le puissant botnet Satori.Dasan Networks

Un botnet rapide qui transforme les routeurs, les caméras et autres types de périphériques connectés à Internet en outils puissants pnotre le vol et la destruction a refait surface, cette fois en exploitant un vulnérabilité critique qui donne aux pirates le contrôle sur autant que 40 000 routeurs. Malgré les enjeux élevés, rien n’indique que le bogue sera corrigé à tout moment, voire pas du tout.

Satori, comme l’a surnommé le botnet, s’est rapidement fait un nom lui-même en décembre, quand il a infecté plus de 100 000 routeurs sur 12 heures seulement en exploitant des vulnérabilités critiques dans deux modèles, l’une faite par Huawei et l’autre par RealTek. Le mois dernier, Satori les opérateurs ont publié une nouvelle version qui infectait les appareils utilisés pour exploiter pièces numériques, un exploit qui a permis aux attaquants d’exploiter autant Ethereum d’une valeur de 3 000 dollars US, sur la base des prix de la pièce numérique. commandant à l’époque.

Satori a commencé à infecter les routeurs ces derniers jours fabriqué par Dasan Networks de Corée du Sud. Le nombre de quotidien routeurs infectés est d’environ 13 700, avec environ 82% d’entre eux situé au Vietnam, un chercheur de Netlab 360 basé en Chine a déclaré Ars. Requêtes sur l’index de recherche Shodan d’Internet dispositifs montrent qu’il y a un total de plus de 40 000 routeurs fabriqués par Dasan. La société n’a pas encore répondu à un avis publié dans Décembre qui a documenté la vulnérabilité d’exécution de code Satori est exploitant, rendant possible que la plupart ou la totalité des appareils finalement devenir une partie du botnet.

“Nous essayons de contacter Dasan depuis le 8 octobre 2017”, ont indiqué des chercheurs du service de divulgation de vulnérabilité SecuriTeam a écrit dans le Avis du 6 décembre. “Les tentatives répétées pour établir le contact sont allées sans réponse. Pour le moment, il n’existe aucune solution ou solution de contournement pour cette vulnérabilité. “Dans un courriel envoyé mercredi, Noam Rathaus, CTO Beyond Security, la société mère de SecuriTeam, a écrit:

Nous avons essayé de contacter Dasan à plusieurs reprises depuis octobre. Par “plusieurs fois” je veux dire probablement plus de 10 courriels, plusieurs téléphones appels, et demandes à la fois à leur support et à leurs ventes départements.

Puisque nous étions conscients qu’il pourrait y avoir une langue possible barrière, nous sommes allés aussi loin que d’avoir le chef de notre bureau coréen envoyez-leur l’explication complète en coréen avec une invitation � communiquer directement avec nous pour coordonner la divulgation; ourBureau coréen a essayé de les contacter par e-mail et par téléphone mais, à l’exception d’une courte confirmation qu’ils ont reçu notre communication, nous n’avons jamais eu de mises à jour.

Les tentatives d’Ars pour contacter les représentants de Dasan n’étaient pas immédiatement réussi.

Un approvisionnement presque infini de vulnérabilités

Satori est basé sur Mirai, l’Internet des objets open source les logiciels malveillants qui ont alimenté une série de réseaux de bot qui ont livré attaques par déni de service distribué record en 2016 et parties centrales affaiblies de l’Internet pendant des jours. Contrairement à des milliers Parmi les autres variantes de Mirai, Satori a présenté une amélioration essentielle. Tandis que Mirai et ses imitateurs ne pouvaient infecter que les périphériques sécurisés avec des mots de passe par défaut faciles à deviner, le firmware exploité par Satori bugs, qui ne sont souvent pas corrigés, soit à cause du fabricant la négligence ou la difficulté rencontrée par les propriétaires d’appareils pour réparer leur dispositifs.

“Le développeur Satori met actuellement à jour le malware,” Netlab Le chercheur 360 Li Fengpei a écrit dans un email. “Dans le futur, si Satori fait plus de gros titres, nous ne serons pas surpris. ”

Comme la plupart des programmes malveillants IoT, les infections Satori ne survivent pas à un appareil redémarrer. Cela signifie que les infections de Huawei en décembre et Les périphériques RealTek, estimés à 260 000 par Netlab 360, sont en grande partie disparu. Le botnet a toutefois réussi à persister grâce � un approvisionnement presque infini de vulnérabilités dans d’autres appareils IoT. Outre les méthodes d’infection déjà mentionnées, Satori a également réussi à se propager en exploitant les failles des versions personnalisées du Serveur Web GoAhead intégré dans des caméras sans fil et autres types de dispositifs IoT, chercheurs de la société de sécurité Fortinet rapporté il y a deux semaines. Un porte-parole de GoAhead a déclaré à Ars: “La faille pas vraiment dans la mise en œuvre du serveur web, mais dans le application Web qui l’utilise, c’est-à-dire juste parce qu’un appareil a GoAhead ne signifie pas qu’il est vulnérable. ”

Pascal Geenens, chercheur à la firme de sécurité Radware, qui a a rapporté la nouvelle variante de Satori lundi, a déclaré à Ars que ce n’est pas tout à fait clair quel est le but du botnet. Le mois dernier variante, mentionnée précédemment, qui a infecté le Claymore Miner Un logiciel permettant de générer une crypto-monnaie peut fournir un indice clé. le Selon Geenens, cette variante est une indication forte que les opérateurs de Satori vouloir voler des pièces numériques ou des ressources informatiques utilisées pour générer leur. Il a dit que les variantes Claymore et Dasan reposent sur le même infrastructure de commandement et de contrôle et que le mot Satori est inclus dans les fichiers binaires des deux versions.

Piotr Bazydło, chercheur au NASK Research and Academic Computer Network, a déclaré à Ars qu’il pensait que la nouvelle variante pourrait ont infecté jusqu’à 30 000 routeurs jusqu’à présent et que Satori les développeurs ont probablement des plans pour de nouvelles attaques dans un proche futur.

“Je suppose qu’ils essaient de suivre la tendance et de fournir une botnet pour extraire / voler des crypto-monnaies “, écrit-il dans un email. “Les gens devraient être conscients qu’il peut y avoir plus de variantes du Satori à l’avenir, [et] ainsi, d’autres dispositifs IoT pourraient être ciblés. ”

Cet article a été mis à jour le 15/02/2018 pour ajouter un commentaire de Aller de l’avant.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: