mirai

Une variante de Mirai utilise de nouveaux exploits

Des chercheurs en sécurité ont découvert une nouvelle variante du botnet Mirai qui cible les appareils intégrés pour lancer des attaques DDoS.

Les créateurs originaux du botnet Mirai ont déjà été arrêtés, mais des variantes du malware, comme Satori et Okiru, apparaissent à cause de la disponibilité du code source depuis 2016.

Nouvelle Variante de Mirai

Les chercheurs de Palo Alto Network Unit 42 sont tombés sur la nouvelle variante de Mirai qui cible les appareils dans les environnement d’entreprise, y compris les systèmes WePresent WiPG-1000 Wireless Presentation et les télévisions LG Supersign.

Cette nouvelle variante contient 11 nouveaux exploits, cela fait donc un total de 27 exploits, ainsi qu’un nouveau set « d’informations de connexion inhabituelles » qui peuvent être utilisé dans les attaques de force brute.

« Ces nouvelles fonctionnalités donnent au botnet une plus large surface d’attaque, » ont précisé les chercheurs de Unit 42 sur leur site. « Cibler les entreprises donne aussi accès à une plus large bande passante, ce qui donne une plus grosse puissance de feu au botnet pour les attaques DDoS. »

Un exploit d’exécution de code à distance des télévisions LG Supersign (CVE-2018-17173) avait été rendu disponible en Septembre l’année dernière et un code d’attaque exploitant une vulnérabilité d’injection de commande dans le WePresent WiPG-1000 avait été publié en 2017.

En plus de ces deux exploits, la nouvelle variante Mirai cible aussi des hardware intégrés:

  • routeurs Linksys
  • routeurs ZTE
  • routeurs DLink
  • Serveurs de stockage réseau (NAS)
  • NVR et les cameras IP

Après avoir scanné et identifié les appareils vulnérables, le malware récupère le nouveau payload et le télécharge sur l’appareil ciblé, ce dernier vient ensuite s’ajouté au réseau botnet et peut être utilisé pour lancer des attaques DDoS.

Un ou plusieurs botnets Mirai ont été utilisés dans certaines des plus importantes et percutantes attaques en déni de service distribué (DDoS), dont une attaque le 20 septembre 2016 sur le site de sécurité informatique du journaliste Brian Krebs, une attaque sur l’hébergeur français OVH et la cyberattaque d’octobre 2016 contre la société Dyn. Certains éléments semblent écarter un lien direct entre toutes ces attaques, si ce n’est l’utilisation de botnets de type Mirai.

Pour vous protéger de ces attaques, changer les mots de passe par défaut de vos appareils connectés à internet et effectuez les mises à jour quand elles sont disponibles.

Laisser un commentaire