Les appareils Draytek sont exploités par des pirates

Les chercheurs en sécurité informatique du NetLab de Qihoo 360 ont remarqué des attaques ciblant les appareils Draytek. Ils ont dévoilé les détails concernant deux campagnes de cyberattaque récemment repérées sur la toile ciblant des périphériques réseau fabriqués par DrayTek, une entreprise basée à Taiwan.

Selon le rapport de sécurité, au moins deux groupes distincts de pirates ont exploité deux vulnérabilités critiques d’injection de commande à distance (CVE-2020-8515) affectant les switchs d’entreprises, les répartiteurs de charge, les routeurs et les périphériques de passerelle VPN de DrayTek Vigor pour écouter le trafic du réseau et installer des portes dérobées.

Ces attaques zero-day ont commencé vers la fin du mois de novembre ou au début du mois de décembre et ciblent potentiellement toujours des milliers de switchs DrayTek, Vigor 2960, 3900, 300B exposés au public. Ces attaques concernent les appareils qui n’ont pas encore été patchés avec les dernières mises à jour de firmware distribuées au mois de Février.

Les vulnérabilités zero-day en question peuvent être exploitées par tout attaquant distant non-autorisé pour injecter et exécuter des commandes arbitraires sur le système, comme l’a également détaillé un autre chercheur sur son blog.

draytek

“Les deux points de terminaison vulnérables à l’injection de commande sont keyPath et rtick, situés dans /www/cgi-bin/mainfunction.cgi, et le programme de serveur Web correspondant est /usr/sbin/lighttpd”, indique le rapport.

draytek

Les chercheurs de NetLab n’ont pas encore attribué les deux attaques à un groupe spécifique, mais ils ont confirmé que si le premier groupe a simplement espionné le trafic réseau, le deuxième groupe d’attaquants a utilisé la vulnérabilité d’injection de commande rtick pour créer:

  • une porte dérobée pour la session Web qui n’expire jamais
  • une porte dérobée SSH sur les ports TCP 22335 et 32459
  • un compte dont le nom d’utilisateur est “wuwuhanhan” et le mot de passe “caonimuqin”.

Il faut noter que si vous venez d’installer le firmware patché ou que vous l’installez maintenant, il ne supprimera pas automatiquement les comptes de porte dérobée au cas où vous seriez déjà compromis.

Les conseils de Draytek

“Nous recommandons aux utilisateurs de DrayTek Vigor de vérifier et de mettre à jour leur micrologiciel en temps opportun et de vérifier s’il existe un processus tcpdump, un compte de porte dérobée SSH, une porte dérobée de session Web, etc. sur leurs systèmes.”

“Si vous avez activé l’accès à distance sur votre routeur, désactivez-le si vous n’en avez pas besoin et utilisez une liste de contrôle d’accès si possible”, suggère la société.

La liste des versions de firmware affectées est la suivante:

  • Vigor2960 < v1.5.1
  • Vigor300B < v1.5.1
  • Vigor3900 < v1.5.1
  • VigorSwitch20P2121 <= v2.3.2
  • VigorSwitch20G1280 <= v2.3.2
  • VigorSwitch20P1280 <= v2.3.2
  • VigorSwitch20G2280 <= v2.3.2
  • VigorSwitch20P2280 <= v2.3.2

Il est fortement recommandé aux entreprises et aux particuliers concernés d’installer les dernières mises à jour du micrologiciel pour protéger complètement leurs réseaux contre les logiciels malveillants et les menaces émergentes en ligne.

Si cet article vous a plu, jetez un œil à notre article précédent.