Les chercheurs en sécurité de Palo Alto Networks ont découvert une autre variante de Mirai ciblant certaines failles du système IoT. En exploitant leur pare-feu de nouvelle génération, ces spécialistes sont parvenus à identifier les menaces présentes sur le réseau.
Des experts en cyber sécurité ont identifié une nouvelle attaque des réseaux IoT en cours. Ces derniers tirent parti de plusieurs failles visant à développer d'autres versions de Mirai au sein de systèmes compromis. Lorsque cette tentative d'exploitation réussit, les attaquants essaient de récupérer un script shell nuisible. Celui-ci contient d'autres éléments infectieux comme l'exécution et le transfert des variantes de Mirai.
Variante de Mirai : elle cible les dispositifs de sécurité du réseau
Le 16 février 2021, les chercheurs d'Unit 42 ont dévoilé une série d'attaques exploitant des failles de sécurité connues dans les systèmes IoT. Parmi ces séries exploitées, figure :
- un exploit SSL-VPN de SonicWall ;
- une faille dans le pare-feu DNS-320 (CVE-2020-25506) ;
- un exploit Netgear ProSAFE Plus (CVE-2020-26919)
- une attaque du routeur Netis WF2419 (CVE-2019-19356) ;
- et trois autres vulnérabilités IoT à identifier.
En outre, le 23 février 2021, l'une des adresses IP impliquées dans l'attaque a été mise à jour pour servir une variante de Mirai exploitant CVE-2021-27561 et CVE-2021-27562. Puis, le 3 mars 2021, les mêmes échantillons ont été transmis par une troisième adresse IP, avec l'ajout d'un exploit exploitant CVE-2021-22502. Le 13 mars, un exploit ciblant CVE-2020-26919 a également été incorporé aux échantillons.
Selon le rapport de l'unité 42, le domaine de l'IoT reste une cible facilement accessible pour les hackers. Les failles de sécurité pourraient être exploitables très facilement. Elles pourraient, dans certains cas, avoir des conséquences catastrophiques.
Un logiciel malveillant s'en prend aux serveurs Linux
L'attaque consiste à utiliser le wget pour récupérer un fichier texte ou script shell depuis un logiciel malveillant. Ce dernier sert ensuite à récupérer les binaires Mirai. Ce programme nuisible est bien connu capable de transformer des dispositifs IoT fonctionnant sous Linux en bots dirigé à distance.
Outre le transfert de Mirai, d'autres fichiers textes ont été identifiés. Ils récupèrent les contenus exécutables dans le but de faciliter les piratages des appareils aux mots de passe vulnérables.
Des attaques de réseau dévastatrices
Mirai a provoqué un chaos généralisé en 2016 en frappant l'ancien fournisseur de DNS Dyn et en affectant des services populaires. Notamment PayPal, Spotify, PlayStation Network, Xbox Live, Reddit, Amazon, GitHub et bien d'autres. En effet, plus de 100 000 appareils auraient été impliqués dans l'attaque, ce qui a généré une puissance destructrice extraordinaire de 1,2 Tbit/s.
Vu le développement rapide des appareils IoT, IDC estime qu'il y aura 41,6 milliards d'appareils IoT connectés d'ici 2025, et leur sécurité souvent faible, les futures attaques risquent de surpasser celle de Dyn.
En conclusion, les chercheurs soulignent que la principale leçon à tirer de cette situation concerne le fait que les appareils connectés représentent toujours un problème de sécurité pour les utilisateurs. Ils conseillent aux clients d'appliquer systématiquement les correctifs.
- Partager l'article :