Mukashi: Une nouvelle variante de Mirai qui cible les NAS

Mukashi est une nouvelle variante du botnet Mirai qui attaque les périphériques de stockage en réseau (NAS) de la marque Zyxel en exploitant une vulnérabilité critique qui n’a été découverte que récemment.

Cette variante profite d’une vulnérabilité d’injection de commande de pré-authentification trouvée dans les périphériques de stockage NAS de la marque Zyxel, selon des chercheurs de l’unité 42 de Palo Alto Networks. Une preuve de concept de la vulnérabilité, CVE-2020-9054, n’a été partagée publiquement que le mois dernier.

“Mukashi utilise une technique de force brute pour forcer la connexion en utilisant différentes combinaisons de logins et de mots de passe par défaut, tout en informant son serveur de commande et de contrôle (C2) des tentatives de connexion réussies”, ont expliqué Ken Hsu, Zhibin Zhang et Ruchna Nigam dans un article détaillé.

zyxel mukashi

De nombreux NAS de la marque Zyxel utilisant des versions de firmware antérieures à la version 5.21 sont vulnérables, ont-ils déclaré.

“Nous sommes au courant de la vulnérabilité CVE-2020-9054 et nous avons déjà distribué des mises à jour de firmware pour les produits concernés”, a déclaré un porte-parole de Zyxel.

“Nous avons parlé de ce problème avec nos clients sur le forum Zyxel et par le biais d’e-mails d’alertes pour inciter les clients à installer les mises à jour du micrologiciel ou à utiliser la solution de contournement pour une protection optimale”, a écrit le représentant de la société.

zyxel

Le chercheur Alex Holden, créateur de la société de sécurité, Hold Security, a découvert le mois dernier la vulnérabilité du NAS de la marque Zyxel lorsqu’il a remarqué que quelqu’un vendait des instructions précises sur la façon de l’exploiter. Il a alerté Brian Krebs de KrebsonSecurity, qui a informé Zyxel de l’exploit et a publié un rapport sur la vulnérabilité, qui, selon lui, peut permettre à un pirate informatique de compromettre à distance et de prendre le contrôle de plus d’une douzaine d’appareils Zyxel.

«Cette découverte initiale a également mentionné que l’exploit était maintenant utilisé par un groupe d’individus malveillants qui cherchent à intégrer l’exploit dans Emotet », selon les chercheurs de l’Unité 42.

Le botnet Mirai existe sous une forme ou une autre depuis un certain temps. Le code source de Mirai a été publié en octobre 2016 et depuis lors, de nombreuses variantes du logiciel malveillant ont été aperçues dans la nature. Ce botnet IoT a été associé à plusieurs attaques par déni de service distribué (DDoS).

Mirai et ses variantes ont été observées en train d’attaquer des technologies (routeurs etc…), des sociétés Internet (fournisseurs DNS etc…), des services financiers et des entreprises, pour n’en nommer que quelques-uns. Mirai a même aidé les cybercriminels à passer un cap en donnant un coup de pouce à l’industrie DDoS-as-a-service répandue sur les forums de pirates informatiques.

Les variantes de Mirai observées par les chercheurs montrent un changement d’orientation au cours de l’année dernière pour cibler le matériel et les processeurs mais la dernière variante Mukashi contredit cette tendance. Mukashi partage certaines caractéristiques avec les variantes précédentes de Mirai ainsi qu’avec le botnet Mirai dont il est issu, ont écrit les chercheurs de l’Unité 42.

Cette variante analyse le port TCP 23 d’hôtes aléatoires, utilisant une technique de force brute pour se connecter à l’aide de différentes combinaisons de logins et de mots de passe par défaut. Il rapporte ensuite la tentative de connexion réussie à son serveur C2, à partir duquel il est également capable de recevoir des commandes C2 et de lancer des attaques DDoS – une caractéristique qu’il partage avec d’autres variantes de Mirai.

Avant d’être entièrement déployé, Mukashi s’associe au port TCP 23448 pour garantir qu’une seule instance du botnet s’exécute sur le système infecté, selon les chercheurs. Ensuite, une fois exécuté, Mukashi affiche le message «Protéger votre appareil contre d’autres infections» sur la console, après quoi il change son nom de processus en «dvrhelper» – un nom qui implique que Mukashi peut également avoir hérité de certaines fonctionnalités de Mirai.

Mukashi est différent

Ce qui est différent chez Mukashi par rapport aux autres variantes de Mirai est sa méthode de chiffrement, ont noté les chercheurs. Les autres variantes utilisent le chiffrement xor conventionnel mais Mukashi utilise une routine de déchiffrement personnalisée pour chiffrer ces commandes et informations d’identification, ont-ils déclaré, fournissant un script pour le chiffrement.

Zyxel a publié un communiqué sur la vulnérabilité et a créé un site Web pour tester si un appareil est vulnérable.

Le 9 mars, les chercheurs ont identifié plus de 16 failles de sécurité dans le logiciel Cloud CNM SecuManager de Zyxel. Certaines de ces failles de sécurité comprenaient plusieurs portes dérobées et des clés de serveur SSH codées en dur.

Poster un Commentaire

avatar
  S’abonner  
Notifier de