Une variante du botnet Mirai cible près de deux douzaines de vulnérabilités visant à prendre le contrôle des appareils D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear et MediaTek pour les utiliser pour des attaques par déni de service distribué (DDoS) .
Le logiciel malveillant a été identifié par les chercheurs de l’unité 42 de Palo Alto Networks lors de deux campagnes en cours qui ont commencé le 14 mars et ont culminé en avril et juin.
Dans un rapport publié aujourd’hui, les chercheurs avertissent que les développeurs de botnets continuent d’ajouter du code pour les vulnérabilités exploitables.
Au total, le logiciel malveillant cible pas moins de 22 problèmes de sécurité connus dans divers produits connectés, notamment des routeurs, des DVR, des NVR, des dongles de communication WiFi, des systèmes de surveillance thermique, des systèmes de contrôle d’accès et des moniteurs de production d’énergie solaire.
Vous trouverez ci-dessous la liste complète des vulnérabilités et des produits ciblés par le malware dans la dernière version identifiée par les chercheurs de l’Unité 42 :
L’une de ces failles, CVE-2023-1389, affecte le routeur WiFi TP-Link Archer A21 (AX1800) et a été signalée par ZDI comme étant exploitée par le malware Mirai depuis fin avril. Cependant, il n’est pas clair si les deux font référence à la même activité.
Détails de l’attaque
L’attaque commence par exploiter l’une des failles mentionnées, préparant le terrain pour l’exécution d’un script shell à partir d’une ressource externe.
Ce script téléchargera le client botnet qui correspond à l’architecture de l’appareil compromis, couvrant armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k et sparc.
Après l’exécution du client bot, le téléchargeur de scripts shell supprime le fichier du client pour balayer les traces d’infection et réduire la probabilité de détection.
Par rapport aux variantes Mirai standard en circulation, celle-ci accède directement aux chaînes cryptées dans la section .rodata via un index au lieu de configurer une table de chaînes pour obtenir la configuration du client botnet.
Cette approche contourne l’initialisation de la table de chaînes chiffrées, ce qui donne au logiciel malveillant rapidité et discrétion et le rend moins susceptible d’être détecté par les outils de sécurité.
L’unité 42 note également que cette variante Mirai n’a pas la capacité de forcer brutalement les identifiants de connexion telnet/SSH, de sorte que sa distribution repose entièrement sur les opérateurs exploitant manuellement les vulnérabilités.
Il est possible de réduire le risque d’infection en appliquant la dernière mise à jour du micrologiciel disponible auprès du fournisseur ou du fabricant de l’appareil, en passant des informations d’identification d’accès par défaut à quelque chose de fort et unique, et en supprimant l’accessibilité du panneau d’administration à distance si elle n’est pas nécessaire.
Les signes d’infection par un logiciel malveillant de botnet sur un appareil IoT peuvent inclure une surchauffe excessive, un changement de paramètres/configuration, des déconnexions fréquentes et une baisse globale des performances.