Le 5 août, les chercheurs de chez Bad Packets ont observé un comportement inhabituel de la part d’un groupe de cybercriminels dont ils traquent l’activité : il scannait Internet à la recherche de routeurs vulnérables à une faille découverte et réparée en avril. Le lendemain, le Juniper Threat Lab observait le même phénomène. Le dénominateur commun des routeurs ciblés était leur utilisation d’un firmware [un type de logiciel, ndlr] développé par Arcadyan.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Le gang derrière la manœuvre se spécialise dans la vente d’attaques DDoS (par déni de service), qui consistent à faire tomber un appareil en le surchargeant de connexions. Pour y parvenir, il s’appuie sur un botnet, une flotte de milliers d’appareils « zombies » qu’il a constituée et avec laquelle il peut lancer une attaque coordonnée. Plus précisément, le groupe corrompt des objets connectés à l’aide d’un variant du malware Mirai, une souche virale très utilisée.

Image d'erreur

Hacker le routeur permet de s’attaquer au reste du réseau local. // Source : Pixnio

L’objectif de la manœuvre repérée par les chercheurs était justement de trouver de nouveaux appareils à infecter pour renforcer leur botnet. La vulnérabilité scannée, CVE-2021-20090, permet de passer outre les processus d’authentification, et autorise ainsi le hacker à se connecter au routeur à distance. Une fois authentifié, l’attaquant va pouvoir lancer son propre code sur la machine. Dans le jargon on parlera d’une RCE (Remote Code Execution) : concrètement, le hacker va pouvoir manipuler l’appareil à sa guise depuis chez lui, et s’en servir comme plateforme de diffusion du variant de Mirai. Il pourra accéder à tous les objets connectés du réseau local, et tenter de les corrompre.

Des millions d’appareils concernés

Les routeurs sont des cibles de choix puis qu’ils sont en charge de la passerelle entre Internet et votre réseau Wi-Fi : ce sont eux par exemple qui sont en responsables de votre réseau Wi-Fi. C’est une des raisons qui explique que la CVE-2021-20090 était notée 9,9/10 sur l’échelle de criticité, en plus de sa facilité d’exploitation.

Comme le détaille le Juniper Threat Lab, le firmware Arcadyan vulnérable équipe 20 modèles de routeurs de 17 marques différentes, dont Asus, Orange, Verizon ou encore Vodafone. Autrement dit, des millions de routeurs, présents dans les foyers de dizaines de pays différents, sont vulnérables à l’attaque. Et ces millions de routeurs donnent eux-mêmes un accès à des dizaines de millions d’appareils connectés. Mais d’après le tableau présenté par les chercheurs, les modèles de box Internet français seraient épargnés par la faille. La box d’Orange concernée, la Livebox Fibra, n’est par exemple utilisée qu’en Espagne.

La faille n’était pas exploitée avant que les chercheurs en parlent

La vulnérabilité a suivi un itinéraire pour le moins étrange. L’entreprise Tenable l’a découverte au début de l’année, puis en a parlé publiquement fin avril, après que des correctifs ont été déployés. D’après les chercheurs, la faille existait depuis « au moins 10 ans », c’est pourquoi tant de modèles de routeurs, construits sur la base du firmware d’Arcadyan disponible en marque blanche, y sont vulnérables.

Mais bien que critique et largement répandue, la faille n’avait jamais été exploitée… jusqu’au 3 août. Evan Grant de Tenable a alors écrit un article technique où il détaille sa preuve de concept, sorte de notice explicative de comment il a exploité la vulnérabilité. Il n’en fallait pas plus pour que les cybercriminels s’en emparent et trouvent un moyen de l’appliquer à grande échelle deux jours plus tard, profitant que le firmware des routeurs n’était pas toujours mise à jour.

Certes, le cas précis présenté dans l’article de Grant ne fonctionne pas forcément pour tous les modèles vulnérables. Mais certains cybercriminels ont les compétences en interne pour l’adapter, si tel est le cas.

La bonne nouvelle, c’est que le correctif pour se protéger des hackers existe déjà. Le problème, comme le rappellent les chercheurs du Juniper Threat Lab interrogés par le Bleeping Computer, c’est que la plupart des personnes concernées n’ont même pas connaissance de l’attaque, et ne vont pas déployer le patch.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !