Les pirates exploitent une nouvelle faille de zéro jour dans les routeurs GPON

Même après avoir été informé de plusieurs cyberattaques actives contre les routeurs Wi-Fi GPON, si vous ne les avez pas encore retirés d’Internet, faites attention, car un nouveau botnet a rejoint le groupe GPON, qui exploite un zéro non divulgué. vulnérabilité de jour dans la nature.

Les chercheurs en sécurité de Qihoo 360 Netlab ont averti d’au moins un opérateur botnet exploitant une nouvelle vulnérabilité zero-day dans les routeurs GPON (Passive Optical Network) compatibles Gigabit, fabriqués par DASAN Zhone Solutions basé en Corée du Sud.

Le botnet, surnommé TheMoon, qui a été vu pour la première fois en 2014 et a ajouté au moins 6 exploits d’appareils IoT à ses versions successives depuis 2017, exploite maintenant une faille zero-day non divulguée pour les routeurs Dasan GPON.

Les chercheurs de Netlab ont testé avec succès la nouvelle charge utile d’attaque sur deux versions différentes du routeur domestique GPON, sans divulguer les détails de la charge utile ni divulguer d’autres détails de la nouvelle vulnérabilité zero-day pour éviter d’autres attaques.

Le botnet TheMoon a fait la une des journaux en 2015-16 après avoir été trouvé en train de diffuser des programmes malveillants sur un grand nombre de modèles de routeurs ASUS et Linksys utilisant des vulnérabilités d’exécution de code à distance (RCE).

Autres botnets ciblant les routeurs GPON

Plus tôt ce mois-ci, au moins cinq botnets différents ont été découverts exploitant deux vulnérabilités critiques dans les routeurs domestiques GPON révélés le mois dernier et permettant à des attaquants distants de prendre le contrôle total de l’appareil.

Comme indiqué dans notre article précédent, les 5 familles de réseaux de zombies, dont Mettle, Muhstik, Mirai , Hajime et Satori , ont été trouvées en exploitant un contournement d’authentification (CVE-2018-10561) et un RCE racine (CVE-2018-10562) défauts dans les routeurs GPON.

Peu de temps après que les détails des vulnérabilités aient été rendus publics, un exploit de validation de principe (PoC) pour les vulnérabilités du routeur GPON a été mis à la disposition du public, facilitant ainsi son exploitation même pour les pirates non qualifiés.

Dans une étude distincte, les chercheurs de Trend Micro ont repéré l’ activité de numérisation de type Mirai au Mexique, en ciblant les routeurs GPON qui utilisent des noms d’utilisateur et des mots de passe par défaut.

"Contrairement à l’activité précédente, les cibles de cette nouvelle procédure de numérisation sont distribuées", ont déclaré les chercheurs de Trend Micro. "Cependant, sur la base des combinaisons de nom d’utilisateur et de mot de passe que nous avons trouvées dans nos données, nous avons conclu que les périphériques cibles sont toujours constitués de routeurs domestiques ou de caméras IP utilisant des mots de passe par défaut."

Comment protéger votre routeur Wi-Fi de piratage

Les vulnérabilités de GPON précédemment divulguées avaient déjà été signalées à DASAN, mais la société n’a pas encore publié de correctif, laissant des millions de leurs clients ouverts à ces opérateurs de botnet.

Ainsi, jusqu’à ce que le fabricant du routeur publie un correctif officiel, les utilisateurs peuvent protéger leurs appareils en désactivant les droits d’administration à distance et en utilisant un pare-feu pour empêcher l’accès extérieur à partir de l’Internet public.

Apporter ces modifications à vos routeurs vulnérables limiterait l’accès au réseau local uniquement, dans la portée de votre réseau Wi-Fi, réduisant ainsi efficacement la surface d’attaque en éliminant les attaquants distants.

Nous mettrons à jour cet article avec de nouveaux détails, dès qu’ils seront disponibles. Restez à l’écoute !

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image