CISA a exhorté les fabricants de routeurs de petit bureau/bureau à domicile (SOHO) à assurer la sécurité de leurs appareils contre les attaques en cours qui tentent de les détourner, en particulier celles coordonnées par le groupe de piratage informatique soutenu par l’État chinois Volt Typhoon (Bronze Silhouette).
Plus précisément, dans de nouvelles directives créées avec l’aide du FBI, les deux agences demandent aux fournisseurs d’éliminer les vulnérabilités des interfaces de gestion Web des routeurs SOHO (WMI) pendant les phases de conception et de développement.
Ils ont également été invités à ajuster la configuration par défaut des routeurs pour automatiser les mises à jour de sécurité, exiger des remplacements manuels lors de la désactivation des paramètres de sécurité et autoriser uniquement l’accès au WMI des routeurs à partir d’appareils connectés au réseau local.
Les auteurs de menaces compromettent de nombreux appareils de ce type, profitant du grand nombre de routeurs SOHO utilisés par les Américains et les utilisant comme tremplins dans des attaques ciblant des organisations d’infrastructures critiques américaines.
« CISA et le FBI exhortent les fabricants de routeurs SOHO à intégrer la sécurité dans la conception, le développement et la maintenance des routeurs SOHO afin d’éliminer le chemin emprunté par ces acteurs de la menace pour (1) compromettre ces appareils et (2) utiliser ces appareils comme rampes de lancement pour compromettre davantage les entités d’infrastructure critiques américaines », a déclaré l’agence de cybersécurité.
« La CISA et le FBI exhortent également les fabricants à se protéger contre l’activité du Volt Typhoon et d’autres cybermenaces en divulguant les vulnérabilités via le programme Common Vulnerabilities and Exposures (CVE) ainsi qu’en fournissant une classification précise de l’énumération des faiblesses communes (CWE) pour ces vulnérabilités.
« L’alerte exhorte également les fabricants à mettre en place des structures d’incitation qui accordent la priorité à la sécurité lors de la conception et du développement des produits. »
Volt Typhoon se connecte au botnet du routeur SOHO
Les attaques Volt Typhoon ciblant les routeurs SOHO mentionnées par la CISA dans l’alerte d’aujourd’hui font probablement référence au malware KV-botnet lié aux cyberespions chinois en décembre qui cible de tels appareils depuis au moins août 2022.
Un avis du gouvernement américain de juin 2023 a évalué que le groupe de menaces travaillait à la construction d’une infrastructure qui pourrait être utilisée pour perturber l’infrastructure de communication à travers les États-Unis.
Un rapport antérieur de Microsoft a révélé que les pirates soutenus par la Chine ciblaient et violaient les organisations d’infrastructures critiques américaines depuis au moins la mi-2021, y compris Guam, qui est une île abritant plusieurs bases militaires américaines.
Volt Typhoon est connu pour cibler couramment les routeurs, les pare-feu et les périphériques VPN pour proxy le trafic malveillant, en le mélangeant avec le trafic légitime pour échapper à la détection lors des attaques. Selon l’équipe de Lumen Technologies Black Lotus Labs, les pirates ciblent les pare-feu Netgear ProSAFE, les Cisco RV320, les routeurs Draytek Vigor et les caméras IP Axis.
« La campagne infecte les appareils à la périphérie des réseaux, un segment qui est devenu un point faible dans le réseau défensif de nombreuses entreprises, aggravé par le passage au travail à distance ces dernières années », a déclaré Lumen.
Le réseau secret de transfert de données construit à l’aide du botnet KV a été utilisé dans des attaques ciblant un large éventail d’organisations, notamment des entités militaires américaines, des fournisseurs de services de télécommunication et d’Internet, une entité du gouvernement territorial américain à Guam et une entreprise européenne d’énergie renouvelable.
Le gouvernement américain aurait déjà démantelé une partie de l’infrastructure de Volt Typhoon ces derniers mois, selon Reuters.