Le nouveau botnet Muhstik attaque les routeurs Tomato

Une nouvelle variante du botnet Muhstik est apparu, cette fois avec une technologie de scanner qui peut brute-forcer l’authentification web pour attaquer les routeurs qui utilisent le firmware Tomato.

Au début du mois de Décembre 2019, les chercheurs de l’Unité 42 de Palo Alto Networks ont découvert une nouvelle variante qui récolte les routeurs et les appareils IoT vulnérables.

Muhstik n’est pas un nouveau venu

Muhstik est actif depuis Mars 2018 et a démontré des capacités de propagation similaires aux vers informatiques. Il peut aussi infecter les serveurs Linux et les appareils IoT.

“La nouvelle variante de Muhstik scanne les routeurs Tomato sur le port TCP 8080 et contourne l’authentification d’administrateur web en utilisant une technique de force brute avec les logins et mots de passe par défaut,” ont écrit les chercheurs dans leur rapport. Dans notre cas, les logins et mots de passe par défaut sont “admin:admin” et “root:admin”.

“Nous avons capturé le trafic de la technique de force brute de l’authentification du routeur Tomato,” ont déclaré les chercheurs de Palo Alto.

Tomato, c’est quoi?

Le firmware Tomato est un firmware libre, basé sur Linux et qui est connu pour sa stabilité, sa capacité de transfert VPN et son contrôle avancé de la qualité de service. Il est utilisé par plusieurs fabricants de routeurs et installé manuellement par les particuliers.

muhstik

Pour estimer le nombre d’appareils infectés, les chercheurs ont lancé une recherche de routeurs Tomato dans Shodan. Ce dernier a identifié plus de 4600 routeurs Tomato exposés et vulnérables aux attaques Muhstik.

Les développeurs de botnet se penchent de plus en plus sur ce genre de firmware libre qui sont installés sur les appareils IoT. Ces appareils sont des cibles plus faciles car leurs mises à jour de sécurité et patchs de maintenance sont irréguliers.

Par le passé, Muhstik avait déjà montré sa capacité à utiliser plusieurs exploits de vulnérabilités pour infecter les services Linux, tels que Oracle WebLogic, WordPress et Drupal, ainsi que des routeurs.

Cette nouvelle variante montre encore une fois que le manque de sécurité dans le domaine des appareils IoT. Les nouvelles attaques visant ce type d’appareils sont tellement fréquentes que les chercheurs en sécurité ont du mal à suivre.

Récemment un hacker a partagé les données sensibles de 515 000 appareils IoT en ligne, il les avait obtenu en scannant la toile pour trouver des appareils dont les ports Telnet étaient exposés. Il a ensuite utilisé des mots de passe par défaut ou des combinaisons faciles à deviner.

Les chercheurs de l’Unité 42 ont publié des exemples des 3 modules de la variante Muhstik qu’ils ont découvert. Le premier module est un scanner qui détecte si WordPress est installé sur un serveur en envoyant une requête GET au port 80/TCP ou 8080/TCP, ce sont tout les 2 des ports HTTP.

Le second module est aussi un scanner et détecte si une solution Webuzo est installé sur le serveur en envoyant une requête GET au port 2004/TCP. C’est le port que Webuzo utilise par défaut pour l’administration. La requête utilise le chemin /install.php car il s’agit du fichier d’installation Webuzo et par défaut un serveur exécutant Webuzo répondra avec succès à cette demande.

Le troisième module cible Oracle WebLogic Server, il envoi une vulnérabilité de dé-sérialisation trouvée dans le serveur au port 7001/TCP. Cela entraîne une exécution de code à distance. «Cette vulnérabilité peut être exploitée à distance et sans authentification préalable», ont précisé les chercheurs.

Les chercheurs ont déclaré qu’ils n’ont pas découvert d’activités malveillantes à part la récolte de routeurs Tomato vulnérables. Cependant, le botnet Muhstik est connu pour lancer des attaques de minage de cryptomonnaie et de déni de service distribué pour faire du profit.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x