Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Hôtes indésirables

Незваные гости

D'autres publications de cette rubrique (31)
  • Ajouter aux favoris
    Ajouter aux favoris

N’oubliez pas les routeurs !

Lu par: 22453 Commentaires: 4 Cote de popularité: 10

jeudi 4 octobre 2018

Tous les jours, des entrées permettant de détecter la famille Linux.VPNfFilter s'ajoutent à la base virale Dr.Web.

#drweb

De quoi s'agit-il ?

VPNFilter est un programme malveillant visant à contaminer non pas les ordinateurs ordinaires mais les périphériques réseau, tels que les routeurs et les systèmes de stockage de données.

VPNFilter a été détecté cette année au mois de mai. Ce malware a contaminé au moins un demi-million de routeurs Linksys, NETGEAR, MikroTik, TP-link, ainsi que des périphériques NAS produits par QNAP dans 54 pays.

https://xakep.ru/2018/06/04/vpnfilter-is-back

Pourquoi les périphériques réseaux ont-ils été visés par les pirates ? La raison est simple : même si les utilisateurs installent les mises à jour, le pourcentage de périphériques réseau qui sont régulièrement mis à jour est négligeable. Ainsi, les attaquants n'ont pas à rechercher des vulnérabilités non corrigées. Un tel " trou " de sécurité peut être connu du fabriquant et corrigé par une nouvelle version de firmware, cependant les pirates peuvent l'utiliser facilement.

Les opérateurs de VPNFilter n'utilisent pas de vulnérabilités 0-day mais exploitent des bogues connus et détectés précédemment.

De plus : il existe une autre raison pour laquelle la non installation des mises à jour facilite la vie des malfaiteurs. Lorsqu'une vulnérabilité est corrigée, et qu'une annonce paraît, celle-ci est accompagnée d’informations sur la vulnérabilité en question. Dans le cas contraire, le fait de sortir une mise à jour de sécurité joue aussi : les pirates peuvent analyser les mises à jour et trouver un point faible.

Quelques temps après la détection d'un botnet VPNFilter, le FBI a intercepté le contrôle du serveur toknowall.com. Pour cela, la technique dite de sinkhole a été appliquée, nous l'avons déjà expliqué dans notre publication Pêche aux bots. Plus tard, les marches à suivre pour se débarrasser de VPNFilter ont été publiées à l'attention des propriétaires d’appareils vulnérables. Des hackers russes du groupe Fance Bear, considéré comme " étant impliqué dans l'attaque ayant ciblé le siège des démocrates lors de la période électorale aux Etats-Unix en 2016 » ont été accusés d'être les auteurs de ce malware.

La mise à jour nécessaire n'a pas été publiée puisque on s'est contenté d'avoir intercepté le serveur des pirates. Mais le temps a montré qu’il fallait sortir une mise à jour. Le botnet a survécu et les criminels continuent à développer des modules pour « l’améliorer ».

Que donne VPNFilter aux pirates ? Il permet de contrôler les données qui transitent via un routeur ou un système de stockage. Il est ainsi possible d'obtenir des mots de passe du trafic ou bien d'insérer au trafic d'un site ouvert par un utilisateur un script ou des publicités ou une commande de téléchargement de programmes malveillants. Il est également possible de faire chanter l'utilisateur en menaçant de bloquer son accès au réseau.

L'habitude des utilisateurs de résoudre les problèmes par un simple redémarrage ne peut pas aider, cela n'a aucun impact sur VPNFilter.

Il existe un module, au sein de VPNFilter, conçu pour intercepter le protocole de communication Modbus (couramment utilisé dans l’industrie pour la communication entre les appareils électroniques).

Qui est vulnérable ?

VPNFilter est capable de contaminer un grand nombre de routeurs différents et des périphériques NAS (serveurs pour le stockage des données au niveau du fichier).

  • Asus (RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U)
  • D-Link (DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N)
  • Huawei (HG8245)
  • Linksys (E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N)
  • MikroTik (CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5)
  • Netgear (DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50)
  • TP-Link (R600VPN, TL-WR741ND, TL-WR841N)
  • Ubiquiti (NSM2, PBE M5)
  • Upvel (modèles inconnus)
  • ZTE (ZXHN H108N)

Périphériques NAS vulnérables :

  • QNAP (TS251, TS439 Pro et autres ayant le logiciel QTS installé)

https://blog.zlonov.ru/vpnfilter

Mais cette liste peut être modifiée à tout moment.

C’est une menace grave. Même si vous avez installé un antivirus et que vous le mettez à jour régulièrement, si le routeur est contaminé, vous serez redirigé vers un site pirate, en voulant lire des infos, par exemple.

Le projet Lumières sur la sécurité recommande

N’oubliez pas les routeurs !

  1. Désactivez l’administration à distance de vos dispositifs depuis Internet conformément à la documentation et gardez uniquement l'accès au réseau local.
  2. Installez un nouveau mot de passe administrateur et modifiez les mots de passe pour les autres comptes. Choisissez des mots de passe uniques et assez complexes.
  3. Si vous avez la possibilité d’activer le chiffrement lors de la configuration de l'appareil, faites-le.
  4. Mettez à jour le firmware.

Le redémarrage peut aider pour protéger partiellement de VPNFilter. Comme il a été écrit ci-dessus, VPNFilter survivra au redémarrage. Mais il est à noter qu'il consiste en trois modules dont deux ne pourront pas survivre. Ils seront à nouveau téléchargés, mais pendant ce temps-là, vous pouvez consulter le site du fabricant et trouver des recommandations.

Pendant que nous avons préparé cette publication, une news a vu le jour.

Les chercheurs du laboratoire 360 Netlab ont détecté une activité malveillante qui donne aux pirates le contrôle des routeurs MikroTik non mis à jour. L'attaque a été effectuée par l'exploitation de la vulnérabilité CVE-2018-14847, corrigée dans la mise à jour du mois d'avril MikroTikOS 6.42.1.

Selon Netlab 360, il existe actuellement environ 370 000 périphériques MikroTik dans le réseau avec la vulnérabilité non corrigée. 7500 appareils avaient des paramètres d'interception des paquets et de surveillance du trafic intercepté activés, la création d'un point caché de redirection du trafic a été détectée sur 239 000 dispositifs.

On a également enregistré une tentative d'utiliser des routeurs afin d'impliquer les utilisateurs dans l'extraction de crypto-monnaies.

http://www.opennet.ru/opennews/art.shtml?num=49226

Une fois de plus, on a constaté une tentative d'utiliser JavaScript depuis le site coinhive.com, c'est pourquoi nous vous rappelons la nécessité de bloquer l'accès aux sites malveillants à l'aide du Contrôle Parental Dr.Web.

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs