Un botnet de déni de service distribué (DDoS) basé sur Mirai suivi sous le nom de Beastmode (alias B3astmode) a mis à jour sa liste d’exploits pour en inclure plusieurs nouveaux, dont trois ciblant divers modèles de routeurs Totolink.
Totolink est une sous-marque d’électronique populaire appartenant à Zioncom qui a récemment publié des mises à jour du micrologiciel pour corriger trois vulnérabilités de gravité critique.
Les auteurs de botnets DDoS n’ont pas perdu de temps et ont ajouté ces failles à leur arsenal pour profiter de la fenêtre d’opportunité avant que les propriétaires de routeurs Totolink n’appliquent les mises à jour de sécurité.
En prenant le contrôle des routeurs vulnérables, Beastmode a accès à des ressources matérielles qui lui permettent de lancer des attaques DDoS.
Les opérateurs de botnet gagnent de l’argent soit en vendant des services DDoS, soit en lançant des attaques contre des entreprises et en demandant une rançon pour arrêter.
Vulnérabilités et impact
Chercheurs Fortinet analysé une version récente de Beastmode pour le trouver a ajouté les nouvelles failles suivantes qui pourraient être exploitées pour cibler les appareils Totolink :
- CVE-2022-26210 – La vulnérabilité d’injection de commande a permis aux attaquants d’exécuter des commandes arbitraires via une requête spécialement conçue. Affecte Totolink A800R, A810R, A830R, A950RG, A3000RU et A3100R.
- CVE-2022-26186 – Vulnérabilité d’injection de commande via l’interface export0vpn sur cstecgi.cgi, affectant Totolink N600R et A7100RU.
- CVE-2022-25075 à 25084 – Un ensemble de failles de gravité critique permettant à des attaquants distants d’exécuter des commandes arbitraires via le paramètre QUERY_STRING. Affecte les routeurs Totolink A810R, A830R, A860R, A950RG, A3100R, A3600R, T6 et T10.
Les vulnérabilités ci-dessus n’étaient pas les seuls ajouts au botnet Beastmode, car ses auteurs ont également ajouté les bugs plus anciens suivants :
- CVE-2021-45382 – Faille d’exécution de code à distance affectant D-Link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L et DIR-836L.
- CVE-2021-4045 – Faille d’exécution de code à distance non authentifiée affectant la caméra IP TP-Link Tapo C200.
- CVE-2017-17215 – Faille d’exécution de code à distance non authentifiée affectant Huawei HG532
- CVE-2016-5674 – Exécution de code PHP arbitraire à distance via le paramètre de journal affectant la gamme de produits Netgear ReadyNAS.
Tous les défauts ci-dessus sont classés critiques (score CVSS v3 de 9,8), permettant aux acteurs de la menace de prendre le contrôle total de l’appareil.
Une fois que cela se produit, le logiciel malveillant télécharge un script shell qui enregistre l’appareil capturé sur le botnet et le configure pour différents types d’attaques DDoS.
Restez à l’abri des botnets
Pour empêcher les variantes de Mirai de prendre le contrôle de votre routeur ou de vos appareils IoT, assurez-vous d’appliquer les mises à jour de sécurité disponibles qui corrigent les vulnérabilités mentionnées ci-dessus.
Pour Totolink, visitez les vendeurs centre de téléchargementchoisissez le modèle de votre appareil, puis téléchargez et installez la dernière version disponible du micrologiciel.
L’un des signes pouvant indiquer que votre routeur est compromis est une connexion Internet lente. Des indices supplémentaires qu’un utilisateur normal est susceptible de manquer incluent le chauffage de l’appareil plus que d’habitude, l’impossibilité de se connecter au panneau de gestion, la modification des paramètres ou un appareil qui ne répond pas.
Si vous pensez que votre périphérique réseau a été compromis, une méthode qui peut expulser les pirates consiste à le réinitialiser manuellement, à le configurer avec un mot de passe différent et plus fort et à installer les dernières mises à jour de sécurité du fournisseur.