Support technique
Documentation
Connexion
Nous contacter
Le logiciel malveillant Mirai vise les serveurs Linux et les appareils IoT
Obanla Opeyemi
Le 3 mars 2023 - L'équipe d'experts de TuxCare
Les chercheurs de l'unité 42 ont découvert "Mirai v3g4", une nouvelle variante du botnet Mirai qui cible 13 vulnérabilités non corrigées dans les appareils de l'Internet des objets (IoT). Les failles ont été découvertes dans divers appareils, notamment des routeurs, des caméras et des dispositifs de stockage en réseau (NAS), et elles pourraient permettre aux pirates d'en prendre le contrôle et de les utiliser de manière malveillante.
Des dizaines de milliers d'appareils, principalement aux États-Unis et en Europe, auraient été infectés par le nouveau botnet. Pour cibler les vulnérabilités, il utilise un mélange d'exploits connus et nouveaux, dont certains sont connus depuis plusieurs années. Cela indique que de nombreux utilisateurs ne prennent pas les précautions de sécurité de base, comme la mise à jour de leurs appareils et le changement des mots de passe par défaut.
Une fois que les appareils vulnérables ont été compromis par la variante connue sous le nom de V3G4, ils peuvent être entièrement contrôlés par les attaquants et faire partie d'un botnet capable de mener des campagnes supplémentaires telles que des attaques DDoS.
"V3G4 hérite de sa caractéristique la plus importante de la variante originale de Mirai - une section de données avec des identifiants de connexion par défaut intégrés à des fins d'analyse et de force brute", selon les chercheurs. "Comme le Mirai original, il chiffre également toutes les informations d'identification avec la clé XOR 0x37, dit l'unité 42."
"Les vulnérabilités ont une complexité d'attaque moindre que les variantes précédemment observées, mais elles conservent un impact de sécurité critique pouvant conduire à l'exécution de code à distance", a déclaré l'Unité 42.
Alors que la plupart des variantes de Mirai utilisent la même clé pour le chiffrement des chaînes, la variante V3G4, selon le chercheur, utilise différentes clés de chiffrement XOR pour différents scénarios (XOR est une opération de logique booléenne fréquemment utilisée dans le chiffrement).
V3G4 est livré avec un ensemble d'identifiants de connexion par défaut ou faibles qu'il utilise pour lancer des attaques par force brute via les protocoles réseau Telnet et SSH et se propager à d'autres machines. Ensuite, il se connecte au serveur C2 et attend des commandes pour lancer des attaques DDoS contre des cibles, selon l'Unité 42.
V3G4 a tiré parti de vulnérabilités dans l'outil de gestion FreePBX pour les serveurs de communication Asterisk (vulnérabilité CVE-2012-4869) ; Atlassian Confluence (vulnérabilité CVE-2022-26134) ; l'outil d'administration système Webmin (CVE-2019-15107) ; les ordinateurs DrayTek Vigor (CVE-2020-8515 et CVE-2020-15415) ; et le système de gestion Web C-Data (CVE-2022-4257).
L'un des exemples les plus connus d'attaques basées sur l'IdO est le botnet Mirai. Il est apparu pour la première fois en 2016 et a depuis été responsable d'un certain nombre d'attaques très médiatisées, notamment la cyberattaque Dyn de 2016, qui a provoqué d'importantes perturbations de sites Web. Le botnet fonctionne en analysant Internet à la recherche d'appareils vulnérables, puis en les employant dans des attaques par déni de service distribué (DDoS) ou d'autres activités malveillantes.
La découverte d'une nouvelle variante de Mirai met en évidence la menace permanente que représentent les attaques basées sur l'Internet des objets. Plus le nombre de dispositifs IoT augmente, plus le risque que ces dispositifs soient compromis par des pirates augmente. Pour réduire ce risque, les utilisateurs doivent prendre des précautions de sécurité de base, comme la mise à jour de leurs appareils, l'utilisation de mots de passe forts et la restriction de l'accès au réseau. Pour détecter et répondre aux attaques potentielles, ils devraient également envisager d'utiliser des logiciels de sécurité et des outils de surveillance.
Les sources de cet article comprennent un article de SCMagazine.
