Juniper Networks a averti ses clients des attaques de logiciels malveillants Mirai ciblant et infectant les routeurs intelligents de session à l’aide d’informations d’identification par défaut.
Comme l’a expliqué la société d’infrastructure de mise en réseau, le logiciel malveillant recherche les appareils avec des informations d’identification de connexion par défaut et exécute des commandes à distance après y avoir accédé, permettant ainsi un large éventail d’activités malveillantes.
La campagne a été observée pour la première fois le 11 décembre, lorsque les premiers routeurs infectés ont été trouvés sur les réseaux des clients. Plus tard, les opérateurs de ce botnet basé sur Mirai ont utilisé les appareils compromis pour lancer des attaques par déni de service distribué (DDoS).
« Le mercredi 11 décembre 2024, plusieurs clients ont signalé des comportements suspects sur leurs plateformes Session Smart Network (SSN) », indique un avis de sécurité publié ce mardi.
« Tout client ne suivant pas les meilleures pratiques recommandées et utilisant toujours des mots de passe par défaut peut être considéré comme compromis car les mots de passe SSR par défaut ont été ajoutés à la base de données de virus. »
Juniper a également partagé des indicateurs de compromission que les administrateurs doivent rechercher sur leurs réseaux et appareils pour détecter l’activité potentielle des logiciels malveillants Mirai, notamment:
- recherche de périphériques sur des ports de couche 4 communs (par exemple, 23, 23, 80, 8080),
- échec des tentatives de connexion sur les services SSH indiquant des attaques par force brute,
- augmentation soudaine du volume de trafic sortant faisant allusion à la cooptation des appareils dans les attaques DDoS,
- les appareils redémarrent ou se comportent de manière erratique, suggérant qu’ils ont été compromis,
- Connexions SSH à partir d’adresses IP malveillantes connues.
La société a conseillé aux clients de s’assurer immédiatement que leurs appareils respectent les politiques recommandées en matière de nom d’utilisateur et de mot de passe, notamment en modifiant les informations d’identification par défaut sur tous les routeurs intelligents de session et en utilisant des mots de passe uniques et forts sur tous les appareils.
Il est également recommandé aux administrateurs de maintenir le micrologiciel à jour, de consulter les journaux d’accès pour détecter les anomalies, de définir des alertes déclenchées automatiquement lorsqu’une activité suspecte est détectée, de déployer des systèmes de détection d’intrusion pour surveiller l’activité du réseau et d’utiliser des pare-feu pour bloquer l’accès non autorisé aux périphériques exposés à Internet.
Juniper a également averti que les routeurs déjà infectés lors de ces attaques devaient être réimagés avant d’être remis en ligne.
« Si un système s’avère infecté, le seul moyen certain d’arrêter la menace est de réimager le système car il est impossible de déterminer exactement ce qui aurait pu être modifié ou obtenu à partir de l’appareil », a déclaré Juniper.
L’année dernière, en août, le service de surveillance des menaces ShadowServer a mis en garde contre des attaques en cours ciblant une chaîne d’exploitation critique d’exécution de code à distance affectant les commutateurs Juniper EX et les pare-feu SRX à l’aide d’un exploit de validation de principe (PoC) de watchTowr Labs.
Depuis lors, Juniper a également mis en garde contre un bogue RCE critique dans ses pare-feu et commutateurs en janvier et a publié un correctif hors cycle pour une faille de contournement d’authentification de gravité maximale dans ses produits Session Smart Router (SSR), Session Smart Conductor et WAN Assurance Router.