En février, quincaillier Zyxel a corrigé une vulnérabilité zero-day dans ses routeurs et ses produits de pare-feu VPN après que BreachTrace ait informé l’entreprise que la faille était exploitée par des attaquants pour s’introduire dans des appareils. Cette semaine, des chercheurs en sécurité ont déclaré avoir repéré cette même vulnérabilité exploitée par une nouvelle variante de Mirai, une souche de logiciels malveillants qui cible les personnes vulnérables. Internet des objets (IoT) destinés à être utilisés dans des attaques à grande échelle et comme proxys pour d’autres activités de cybercriminalité.
Experts en sécurité chez Réseaux de Palo Alto dit jeudi leurs capteurs ont détecté la nouvelle variante Mirai – surnommée Mukashi — le 12 mars. La nouvelle souche Mirai cible CVE-2020-9054une faille critique qui existe dans de nombreux pare-feux VPN et périphériques de stockage en réseau (NAS) fabriqués par un fournisseur taïwanais Zyxel Communication Corp.qui compte quelque 100 millions d’appareils déployés dans le monde.
Comme d’autres variantes de Mirai, Mukashi analyse constamment Internet à la recherche d’appareils IoT vulnérables tels que des caméras de sécurité et des enregistreurs vidéo numériques (DVR), à la recherche d’une gamme de machines protégées uniquement par des informations d’identification par défaut ou des mots de passe couramment choisis.
Palo Alto a déclaré que les systèmes IoT infectés par Mukashi font ensuite rapport à un serveur de contrôle, qui peut être utilisé pour diffuser de nouvelles instructions, telles que le téléchargement de logiciels supplémentaires ou le lancement d’attaques par déni de service distribué (DDoS).
Les commandes que les botmasters de Mukashi peuvent envoyer aux appareils infectés incluent la recherche et l’exploitation d’autres systèmes et le lancement d’attaques DDoS. Image : Réseaux de Palo Alto.
Zyxel a publié un correctif pour la faille du 24 février, mais la mise à jour n’a pas résolu le problème sur de nombreux appareils Zyxel plus anciens qui ne sont plus pris en charge par la société. Pour ces appareils, le conseil de Zyxel était de ne pas les laisser connectés à Internet.
Un avis conjoint sur CVE-2020-9054 du Département américain de la sécurité intérieure et le Centre de coordination CERT évalue cette vulnérabilité à « 10 » – le type de défaut le plus grave. L’avis DHS/CERT comprend également un exemple de code pour tester si un produit Zyxel est vulnérable à la faille.
Mon conseil? Si vous ne pouvez pas corrigez-lelancez-le, car Mukashi n’est pas la seule chose intéressée par ce bogue Zyxel : une activité récente suggère que des attaquants connus pour déployer des rançongiciels ont travaillé activement pour le tester afin de l’utiliser contre des cibles.