Le botnet Mootbot cible les routeurs fibre optique

Le botnet Mootbot a utilisé une paire d’exploits zero-day pour compromettre plusieurs types de routeurs fibre. Selon les chercheurs, d’autres réseaux botnet ont tenté de faire de même, mais ont jusqu’à présent échoué.

Selon des chercheurs de NetLab 360, les opérateurs du botnet Mootbot ont commencé fin Février à exploiter un bug zero-day trouvé dans neuf différents types de routeurs fibre utilisés pour fournir un accès Internet et une connexion Wi-Fi aux foyers et aux entreprises (y compris le routeur Netlink GPON). La vulnérabilité est une faille d’exécution de code à distance avec un exploit connu publiquement mais pour qu’il soit utilisé avec succès pour compromettre un routeur cible, il doit être associé à une deuxième vulnérabilité.

«Il est probable que la plupart de ces produits soient liés au même fabricant d’origine», a expliqué la société dans un récent article. Cependant, NetLab 360 a déclaré qu’ils ne publieraient pas le nom du fabricant d’origine ni les détails de la deuxième faille, car le fabricant a dit à la société de sécurité que le bug n’était pas viable.

“Le 17 mars, nous avons confirmé que c’était un exploit zero-day et avons communiqué le résultat à la CNCERT”, selon l’analyse. «Nous avons également contacté le fournisseur, mais on nous a dit que ce problème ne devrait pas se produire car la configuration par défaut de l’appareil ne devrait pas avoir ce problème (la réalité est différente). Ils ne prévoient donc pas d’agir. “

mootbot

Malgré cette évaluation initiale, un code d’exploit de la faille est apparu sur ExploitDB un jour plus tard. Et un jour après cela, le 19 mars, la firme a observé des attaques sur la toile qui utilisent l’exploit pour tenter de répandre le botnet Gafgyt. Quelques jours plus tard, le botnet avait intégré l’exploit dans le cadre d’une tentative de création de ver informatique pour passer d’un routeur à l’autre. Pendant ce temps, le 24 mars, une autre vague de tentatives d’exploitation a émergé, cette fois-ci en essayant de répandre le botnet Fbot.

«L’exploit de Mootbot nécessite une condition préalable cruciale – une autre vulnérabilité doit être utilisée avec cet exploit pour que cela fonctionne», ont expliqué les chercheurs. “Ainsi, une exécution réussie des commandes injectées ne compromettra pas le périphérique ciblé.”

Qu’est-ce que Mootbot?

Mootbot est une nouvelle famille de botnet basée sur le botnet Mirai, qui cible les appareils IoT. Alors que la plupart des botnets IoT recherchent du matériel qui peut avoir des mots de passe faibles ou par défaut, Mootbot se distingue par son utilisation d’exploits zero-day, ont déclaré des chercheurs. Il est à noter que le malware Mootbot a également été aperçu en Mars utilisant plusieurs zero-day pour cibler les caméras DVR et IP LILIN.

nodersok

Bien qu’ils n’aient pas divulgué les détails du deuxième facteur de réussite de l’attaque, NetLab 360 a recommandé que pour se protéger contre la menace, les utilisateurs qui ont des routeurs fibre devraient vérifier et mettre à jour le micrologiciel de leur appareil, et vérifier s’il y a des comptes par défaut qui doivent être désactivés.

Jack Mannino, PDG de nVisium, a déclaré que la focalisation sur les routeurs offrait certains avantages aux pirates informatiques.

«Le contrôle de l’infrastructure réseau sera toujours un objectif attrayant pour les pirates en raison du pouvoir que cela fournit pour lancer de futures attaques», a-t-il déclaré.

“En tant que développeur de logiciels, il est important de considérer que les réseaux à partir desquels vos utilisateurs accèdent à votre produit peuvent être compromis, et de l’intégrer dans vos modèles de menace. Qu’il s’agisse du niveau d’accès qu’il fournit au trafic réseau ou des points d’étranglement et des amplificateurs pour les attaques DDoS qu’ils présentent, les botnets précédents, tels que Mirai, nous ont donné un aperçu de ce que ces campagnes peuvent réaliser. Beaucoup d’équipes de sécurité se concentrent plus sur leurs correctifs Patch Tuesday que sur la mise à jour des appareils qu’ils exposent fréquemment directement à Internet. »

Si cet article vous a plu, jetez un œil à notre article précédent.