Une nouvelle variante de Mirai vise les dispositifs de stockage connectés
Une nouvelle variante du malware Mirai cible une vulnérabilité critique récemment découverte dans les dispositifs de stockage en réseau. Le malware exploite ensuite cette faille pour relier les machines à un botnet utilisant l’Internet des objets.
Surnommé Mukashi, le malware utilise des attaques par force brute utilisant différentes combinaisons d’identifiants par défaut dans le but de se connecter aux produits de stockage en réseau Zyxel, d’en prendre le contrôle et de les ajouter à un réseau de dispositifs pouvant être utilisés pour conduire des attaques DDoS.
Vulnérabilité sur les appareils NAS
En plus d’utiliser la routine de Mirai, Mukashi tire également parti d’une vulnérabilité (CVE-2020-9054) des appareils NAS de Zyxel exécutant la version 5.21 du micrologiciel, qui permet aux attaquants d’exécuter le code à distance.
Selon les chercheurs de Palo Alto Networks, les cybercriminels tentent activement d’exploiter cette faille. Depuis le 12 mars au moins, le logiciel malveillant analyse les ports TCP à la recherche de cibles potentielles, lançant des attaques par force brute afin de contourner les combinaisons courantes de noms d’utilisateur et de mots de passe.
Une fois la connexion contournée, Mukashi se connecte à un serveur de commande et de contrôle qui peut émettre des ordres pour mener des attaques DDoS.
Source Mirai
Bien que le code de Mukashi présente quelques différences, ses capacités sont presque identiques à celles de Mirai – ce qui signifie qu’il a le potentiel de mener des attaques DDoS à grande échelle contre des cibles sélectionnées.
Le botnet Mirai, tristement célèbre, a mis à mal une certaine partie d’Internet fin 2016, coupant ou ralentissant de nombreux services en ligne populaires pour des millions d’utilisateurs. Le code source a été publié en ligne, fournissant les bons outils à n’importe qui voulant fabriquer un botnet malveillant. Les cybercriminels ont largement saisi l’opportunité.
Zyxel a publié un correctif pour la faille affectant les produits de stockage en réseau et pare-feu le mois dernier. Il est donc conseillé à tous les utilisateurs de télécharger et d’installer la mise à jour firmware afin de protéger les produits Zyxel des attaques Mukashi.
Quelques rappels pour se protéger
Généralement, lorsqu’une vulnérabilité est révélée, les cybercriminels en profitent pour l’exploiter sur les appareils sur lesquels les mises à jour de sécurité n’ont pas encore été appliquées. C’est pourquoi il est crucial d’installer les mises à jour dès leur sortie.
Les spécialistes en cybersécurité rappellent aussi aux utilisateurs qu’il est important d’utiliser des mots de passe complexe, pour ne pas faciliter les attaques par force brute, qui exploitent les mots de passe faibles et/ou communs.
Source : ZDNet.com
