Un bogue activement exploité contourne l’authentification sur des millions de routeurs

0

Les pirates informatiques exploitent activement une vulnérabilité critique de contournement d’authentification affectant les routeurs domestiques avec le micrologiciel Arcadyan pour en prendre le contrôle et déployer les charges utiles malveillantes du botnet Mirai.

La vulnérabilité identifiée comme CVE-2021-20090 est une vulnérabilité de traversée de chemin critique (notée 9.9/10) dans les interfaces Web des routeurs avec le micrologiciel Arcadyan qui pourrait permettre à des attaquants distants non authentifiés de contourner l’authentification.

Les attaques en cours ont été découvertes par les chercheurs de Juniper Threat Labs alors qu’ils surveillaient l’activité d’un groupe de pirates informatiquesconnu pour cibler les appareils réseau et IoT depuis Février.

Des millions de routeurs probablement exposés à des attaques

Les appareils vulnérables comprennent des dizaines de modèles de routeurs de plusieurs fournisseurs et FAI, notamment Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra et Telus.

En se basant sur le nombre de modèles de routeurs et de la longue liste de fournisseurs touchés par ce bogue, le nombre total d’appareils exposés aux attaques atteint probablement des millions de routeurs.

La faille de sécurité a été découverte par Tenable, qui a publié un avis de sécurité le 26 avril et ajouté un code d’exploitation de preuve de concept le mardi 3 août.

« Cette vulnérabilité dans le micrologiciel d’Arcadyan existe depuis au moins 10 ans et a donc trouvé son chemin à travers la chaîne d’approvisionnement dans au moins 20 modèles de 17 fournisseurs différents, et cela est abordé dans un livre blanc publié par Tenable », a expliqué Evan Grant, ingénieur de recherche du personnel de Tenable.

Une liste de tous les appareils et fournisseurs concernés connus (y compris les versions de firmware vulnérables) est intégrée ci-dessous.

routeurs vulnérables
Routeurs/fournisseurs vulnérables

Les attaques commencent deux jours après la sortie de l’exploit de preuve de concept

Juniper Threat Labs « a identifié des schémas d’attaque qui tentent d’exploiter cette vulnérabilité à l’état sauvage à partir d’une adresse IP située à Wuhan, dans la province du Hubei, en Chine ».

Les pirates informatiques derrière cette activité d’exploitation en cours utilisent des outils malveillants pour déployer une variante du botnet Mirai, similaire à celles utilisées dans une campagne Mirai ciblant les IoT et les dispositifs de sécurité réseau, découverte par les chercheurs de l’Unité 42 en Mars.

« La similitude pourrait indiquer que le même pirate informatique est à l’origine de cette nouvelle attaque et tente de mettre à niveau son arsenal d’infiltration avec une autre vulnérabilité récemment révélée », a déclaré Juniper Threat Labs.

Les chercheurs ont repéré pour la première fois l’activité des pirates informatiques le 18 février. Depuis lors, ils n’ont cessé d’ajouter de nouveaux exploits à leur arsenal, celui ciblant CVE-2021-20090 étant le dernier inclus.

« Étant donné que la plupart des gens ne sont peut-être même pas conscients du risque de sécurité et ne mettront pas à niveau leur appareil de sitôt, cette tactique d’attaque peut être très efficace, bon marché et facile à mettre en œuvre. »

Des indicateurs de compromission (IOC), y compris les adresses IP utilisées pour lancer les attaques et des exemples de hachage, sont disponibles à la fin du rapport de Juniper Threat Labs.

Mise à jour : Orange a déclaré au Parisien que la vulnérabilité ne présente aucun risque pour ses clients français « puisque le logiciel Arcadyan n’est pas utilisé dans la LiveBox Fibra actuellement utilisée en France ».

Laisser un commentaire