Un botnet cible des centaines de milliers d’appareils en exploitant le SDK de Realtek

0

Un botnet basé sur Mirai cible désormais une vulnérabilité critique dans le logiciel utilisé par des centaines de milliers d’appareils utilisant du matériel Realtek, comprenant 200 modèles d’au moins 65 fournisseurs, dont Asus, Belkin, D-Link, Netgear, Tenda, ZTE et Zyxel.

La faille de sécurité découverte par les chercheurs en sécurité d’IoT Inspector est désormais identifiée comme CVE-2021-35395 et a reçu une note de gravité de 9,8/10.

Il affecte de nombreux appareils sans fil exposés à Internet, allant des passerelles résidentielles et des routeurs de voyage aux répéteurs Wi-Fi, aux caméras IP et aux passerelles de foudre intelligentes ou aux jouets connectés.

Les attaques ont commencé seulement deux jours après la divulgation publique

Étant donné que le bogue affecte l’interface Web de gestion, les attaquants distants peuvent les rechercher et tenter de les pirater pour exécuter du code arbitraire à distance sur des appareils non corrigés, leur permettant ainsi de prendre le contrôle des appareils concernés.

Alors que Realtek a publié une version corrigée du SDK vulnérable le 13 août, trois jours avant que les chercheurs en sécurité d’IoT Inspector ne publient leur avis, cela a laissé très peu de temps aux propriétaires d’appareils vulnérables pour appliquer le correctif.

Comme l’a découvert la société de sécurité réseau SAM Seamless Network, un botnet Mirai a commencé à rechercher des appareils non corrigés pour la failleCVE-2021-35395 le 18 août, deux jours seulement après qu’IoT Inspector ait partagé les détails du bogue.

« Au 18 août, nous avons identifié des tentatives d’exploitation du CVE-2021-35395 dans la nature », a déclaré SAM dans un rapport publié la semaine dernière.

SAM indique que les appareils les plus courants utilisant le SDK de Realtek ciblé par ce botnet sont l’extendeur Netis E1+, les routeurs Wi-Fi Edimax N150 et N300 et le routeur Repotec RP-WR5444, principalement utilisés pour améliorer la réception Wi-Fi.

Le botnet mis à jour pour cibler de nouveaux appareils

Le pirate informatique derrière ce botnet basé sur Mirai a également mis à jour ses scanners il y a plus de deux semaines pour exploiter une vulnérabilité critique de contournement d’authentification (CVE-2021-20090) affectant des millions de routeurs domestiques utilisant le micrologiciel Arcadyan.

Comme les chercheurs de Juniper Threat Labs l’ont révélé à l’époque, ce pirate informatique cible les appareils réseau et IoT depuis au moins février.

« Cette chaîne d’événements montre que les pirates informatiques recherchent activement des vulnérabilités d’injection de commandes et les utilisent pour propager rapidement des logiciels malveillants largement utilisés », a déclaré Omri Mallis, architecte produit en chef chez SAM Seamless Network.

« Ces types de vulnérabilités sont faciles à exploiter et peuvent être intégrés rapidement dans les infrastructures de piratage existantes utilisées par les attaquants, bien avant que les appareils ne soient corrigés et que les fournisseurs de sécurité puissent réagir. »

La liste complète des appareils concernés est trop longue pour être intégrée ici, mais elle se trouve à la fin du rapport IoT Inspector.

Laisser un commentaire