in

Beastmode, la variante du botnet DDoS Mirai exploite de nouveaux bogues

Botnet Beastmode

Les chercheurs de FortiGuard Labs ont découvert une autre variante du tristement célèbre botnet de déni de service distribué (DDoS) Mirai. Dénommée Beastmode (alias B3astmode), cette variante pourrait permettre aux hackers de prendre le contrôle à distance des systèmes exposés. Ceci, en exploitant  une liste de vulnérabilités spécifiques. Trois d'entre elles ciblent divers modèles de routeurs Totolink, une sous-marque Zioncom. 

Les chercheurs de FortiGuard Labs viennent de publier un communiqué alertant les utilisateurs des appareils Totolink. En un mois, la campagne DDoS basée sur Mirai suivi sous le nom de Beastmode a ajouté cinq nouvelles vulnérabilités critiques dans son arsenal d'exploits. Dans les faits, les hackers pourraient exploitées trois d'entre elles pour cibler les appareils Totolink. 

Découvertes entre février et mars 2022, ces nouvelles failles restent particulièrement récentes. Afin de profiter de cette fenêtre d'opportunité, les individus derrière Mirai et sa nouvelle variante Beastmode n'ont donc pas perdu de temps et ont agressivement mis à jour leur arsenal. D'après les chercheurs de FortiGuard Labs, les acteurs de la menace ont adoptés les codes d'exploitation Totolink une semaine seulement après leur publication sur GitHub.

En tirant parti de ces failles, le botnet Beastmode peut prendre totalement le contrôle des routeurs vulnérables. Ensuite, le logiciel malveillant va télécharger un script shell qui enregistre l'appareil capturé sur le botnet. Enfin, les attaquants pourront lancer des attaques DDoS contre des entreprises et se faire de l'argent en demandant une rançon pour les arrêter. 

Les vulnérabilités et leur impact 

En analysant une version récente de Beastmode, les chercheurs de FortiGuard Labs ont découvert l'ajout des failles suivantes : 

  • La vulnérabilité d'injection de commande CVE-2022-26210 ciblant les routeurs Totolink A800R, A810R, A830R, A950RG, A3000RU et A3100R.
  • La vulnérabilité d'injection de commande CVE-2022-26186 affectant les routeurs Totolink N600R et A7100RU.
  • Les failles de gravité critique CVE-2022-25075 à 25084. Celles-ci ciblent les routeurs Totolink A810R, A830R, A860R, A950RG, A3100R, A3600R, T6, et routeurs T10.

Par ailleurs, les autres exploits du botnet Beastmode incluent d'autres bogues plus anciens : 

  • La faille d'exécution de code à distance CVE-2021-45382 ciblant les produits D-Link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L et DIR-836L.
  • Une faille d'exécution de code à distance non authentifiée CVE-2021-4045 affectant la la caméra IP TP-Link Tapo C200.
  • La faille d'exécution de code à distance non authentifiée CVE-2017-17215 ciblant les routeurs Huawei HG532
  • La faille d'exécution de code PHP arbitraire à distance via le paramètre de journal   CVE-2016-5674. Elle cible les solutions de vidéosurveillance NETGEAR ReadyNAS  NUUO NVRmini2, NVRsolo et Crystal devices.

Comment se prémunir des botnets ?

Totolink a récemment publié les mises à jour de son micrologiciel qui bloquent les menaces du botnet Beastmode et corrigent les vulnérabilités exploitées. Pour empêcher Beastmode de prendre le contrôle des routeurs ou des appareils IoT, les propriétaires sont invités à mettre à jour leur firmware dès que possible.

Notons que même si l'auteur original de Mirai a été arrêté à l'automne 2018, les chercheurs de FortiGuard Labs soulignent la rapidité à laquelle les acteurs de la menace adoptent le code d'exploitation nouvellement publié augmentant de manière exponentielle le nombre d'appareils non corrigés infectés. Cela confirme le développement et fonctionnement actif de Mirai. 

C'est pour mieux sécuriser les utilisateurs contre les différentes menaces des variantes de Mirai et les malveillants ciblant les appareils que les chercheurs de FortiGuard Labs tentent de surveiller en permanence l'évolution du paysage des menaces.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.