Les routeurs Internet exécutant le micrologiciel alternatif Tomato sont attaqués activement par un exploit auto-propagé qui recherche les appareils à l’aide des informations d’identification par défaut. Lorsque les informations d’identification sont trouvées et que l’administration à distance est activée, l’exploit fait ensuite des routeurs une partie d’un botnet utilisé dans une multitude d’attaques en ligne, ont déclaré mardi des chercheurs.
![Les routeurs Internet exécutant le micrologiciel alternatif Tomato sont attaqués activement par un exploit auto-propagé qui recherche les appareils à l'aide des informations d'identification par défaut. Lorsque les informations d'identification sont trouvées et que l'administration à distance est activée, l'exploit fait ensuite des routeurs une partie d'un botnet utilisé dans une multitude d'attaques en ligne, ont déclaré mardi des chercheurs. LECTURES COMPLÉMENTAIRES «Drupalgeddon2» déclenche une course aux armements pour exploiter en masse de puissants serveurs Web Le botnet Muhstik est apparu il y a environ deux ans lorsqu'il a commencé à déclencher une série d'exploits qui ont attaqué des serveurs Linux et des appareils Internet. Il a exploité de manière opportuniste une multitude de vulnérabilités, y compris la vulnérabilité dite critique Drupalgeddon2 révélée début 2018 dans le système de gestion de contenu Drupal. Muhstik a également été surpris en train d' utiliser des vulnérabilités dans les routeurs qui utilisent le réseau optique passif Gigabit (GPON) ou le logiciel DD-WRT. Le botnet a également exploité des vulnérabilités précédemment corrigées dans d'autres applications de serveur, notamment Webdav, WebLogic, Webuzo et WordPress. Mardi, des chercheurs de Palo Alto Networks ont déclaré avoir récemment détecté Muhstik ciblant des routeurs Internet exécutant Tomato , un package open source qui sert d'alternative au micrologiciel livré par défaut avec des routeurs exécutant des puces Broadcom. La capacité de travailler avec des réseaux privés virtuels et de fournir un contrôle de qualité de service avancé rend Tomato populaire auprès des utilisateurs finaux et dans certains cas des vendeurs de routeurs. Les exploits utilisent des appareils déjà infectés pour rechercher des routeurs Tomato sur Internet et, lorsqu'ils sont trouvés, pour vérifier s'ils utilisent le nom d'utilisateur et le mot de passe par défaut «admin: admin» ou «root: admin» pour l'administration à distance. Voici à quoi ressemble l'activité de numérisation: Agrandir L'exploit amène les routeurs Tomato qui n'ont pas été verrouillés avec un mot de passe fort à rejoindre un serveur IRC utilisé pour contrôler le botnet. L'administration à distance est désactivée par défaut dans Tomato et DD-WRT, donc les exploits nécessitent que ce paramètre soit modifié. L'infection oblige également les routeurs à rechercher sur Internet des serveurs ou des appareils exécutant des packages WordPress, Webuzo ou WebLogic qui sont vulnérables. L'image ci-dessous montre le flux d'exécution de la nouvelle variante car elle combine divers modules qui analysent Internet pour les serveurs vulnérables: Agrandir Les attaquants utilisent le botnet pour infecter les cibles avec plusieurs charges utiles malveillantes, y compris des mineurs de crypto-monnaie et des logiciels pour effectuer des attaques de déni de service distribuées sur d'autres domaines. Muhstik s'appuie sur plusieurs domaines de commande et de contrôle et adresses IP, vraisemblablement pour la redondance en cas de panne. Le nom Muhstik provient d'un mot-clé qui apparaît dans le code d'exploitation. «La nouvelle variante de botnet Muhstik démontre que le botnet IoT continue d'augmenter la taille du botnet en ajoutant de nouveaux scanners et exploits pour récolter de nouveaux appareils IoT», ont écrit Cong Zheng, Asher Davila et Yang Ji, chercheurs de Palo Alto Networks, dans un article intitulé Muhstik Botnet Attacks Tomato Routeurs pour récolter de nouveaux appareils IoT . «Les développeurs de Botnet compromettent de plus en plus les appareils IoT installés avec le micrologiciel open source, qui manquent souvent des mises à jour de sécurité et des correctifs de maintenance nécessaires pour garder les appareils protégés. Les utilisateurs finaux doivent être prudents lors de l'installation d'un micrologiciel open source et doivent suivre les consignes de sécurité du manuel du micrologiciel. » Les personnes à la recherche de signes que leur routeur a été infecté doivent consulter les journaux pour accéder aux adresses IP ou aux domaines suivants: 46.149.233 [.] 35 68.66.253 [.] 100 185.61.149 [.] 22 hxxp: //y.fd6fq54s6df541q23sdxfg [.] Eu / nvr hxxp: //159.89.156 [.] 190 / .y / pty1 hxxp: //159.89.156 [.] 190 / .y / pty3 hxxp: //159.89.156 [.] 190 / .y / pty5 hxxp: //159.89.156 [.] 190 / .y / pty6 s. shadow.mods [.] net Le billet de blog de mardi fournit également les noms et les condensés de hachage pour sept fichiers utilisés dans les compromis du routeur. Bien que Muhstik soit connu pour exploiter les vulnérabilités du firmware dans GPON et DD-WRT, rien n'indique que les nouvelles variantes utilisent des défauts dans Tomato. Cela suggère que les mots de passe faibles sont le seul moyen dont dispose le botnet pour prendre le contrôle des routeurs. Les utilisateurs doivent s'assurer d'avoir mis à jour les informations d'identification par défaut avec un mot de passe fort. Publication mise à jour pour noter que l'administration à distance est désactivée par défaut.](https://i0.wp.com/www.crumpe.com/wp-content/uploads/2020/01/tomato-execution-flow-640x452-1.jpg?resize=640%2C452&ssl=1)
Le botnet Muhstik est apparu il y a environ deux ans lorsqu’il a commencé à déclencher une série d’exploits qui ont attaqué des serveurs Linux et des appareils Internet. Il a exploité de manière opportuniste une multitude de vulnérabilités, y compris la vulnérabilité dite critique Drupalgeddon2 révélée début 2018 dans le système de gestion de contenu Drupal. Muhstik a également été surpris en train d’ utiliser des vulnérabilités dans les routeurs qui utilisent le réseau optique passif Gigabit (GPON) ou le logiciel DD-WRT. Le botnet a également exploité des vulnérabilités précédemment corrigées dans d’autres applications de serveur, notamment Webdav, WebLogic, Webuzo et WordPress.
Mardi, des chercheurs de Palo Alto Networks ont déclaré avoir récemment détecté Muhstik ciblant des routeurs Internet exécutant Tomato , un package open source qui sert d’alternative au micrologiciel livré par défaut avec des routeurs exécutant des puces Broadcom. La capacité de travailler avec des réseaux privés virtuels et de fournir un contrôle de qualité de service avancé rend Tomato populaire auprès des utilisateurs finaux et dans certains cas des vendeurs de routeurs.
Les exploits utilisent des appareils déjà infectés pour rechercher des routeurs Tomato sur Internet et, lorsqu’ils sont trouvés, pour vérifier s’ils utilisent le nom d’utilisateur et le mot de passe par défaut «admin: admin» ou «root: admin» pour l’administration à distance. Voici à quoi ressemble l’activité de numérisation:
L’exploit amène les routeurs Tomato qui n’ont pas été verrouillés avec un mot de passe fort à rejoindre un serveur IRC utilisé pour contrôler le botnet. L’administration à distance est désactivée par défaut dans Tomato et DD-WRT, donc les exploits nécessitent que ce paramètre soit modifié. L’infection oblige également les routeurs à rechercher sur Internet des serveurs ou des appareils exécutant des packages WordPress, Webuzo ou WebLogic qui sont vulnérables. L’image ci-dessous montre le flux d’exécution de la nouvelle variante car elle combine divers modules qui analysent Internet pour les serveurs vulnérables:
Les attaquants utilisent le botnet pour infecter les cibles avec plusieurs charges utiles malveillantes, y compris des mineurs de crypto-monnaie et des logiciels pour effectuer des attaques de déni de service distribuées sur d’autres domaines. Muhstik s’appuie sur plusieurs domaines de commande et de contrôle et adresses IP, vraisemblablement pour la redondance en cas de panne. Le nom Muhstik provient d’un mot-clé qui apparaît dans le code d’exploitation.
«La nouvelle variante de botnet Muhstik démontre que le botnet IoT continue d’augmenter la taille du botnet en ajoutant de nouveaux scanners et exploits pour récolter de nouveaux appareils IoT», ont écrit Cong Zheng, Asher Davila et Yang Ji, chercheurs de Palo Alto Networks, dans un article intitulé Muhstik Botnet Attacks Tomato Routeurs pour récolter de nouveaux appareils IoT . «Les développeurs de Botnet compromettent de plus en plus les appareils IoT installés avec le micrologiciel open source, qui manquent souvent des mises à jour de sécurité et des correctifs de maintenance nécessaires pour garder les appareils protégés. Les utilisateurs finaux doivent être prudents lors de l’installation d’un micrologiciel open source et doivent suivre les consignes de sécurité du manuel du micrologiciel. »
Les personnes à la recherche de signes que leur routeur a été infecté doivent consulter les journaux pour accéder aux adresses IP ou aux domaines suivants:
46.149.233 [.] 35
68.66.253 [.] 100
185.61.149 [.] 22
hxxp: //y.fd6fq54s6df541q23sdxfg [.] Eu / nvr
hxxp: //159.89.156 [.] 190 / .y / pty1
hxxp: //159.89.156 [.] 190 / .y / pty3
hxxp: //159.89.156 [.] 190 / .y / pty5
hxxp: //159.89.156 [.] 190 / .y / pty6
s. shadow.mods [.] net
Le billet de blog de mardi fournit également les noms et les condensés de hachage pour sept fichiers utilisés dans les compromis du routeur. Bien que Muhstik soit connu pour exploiter les vulnérabilités du firmware dans GPON et DD-WRT, rien n’indique que les nouvelles variantes utilisent des défauts dans Tomato. Cela suggère que les mots de passe faibles sont le seul moyen dont dispose le botnet pour prendre le contrôle des routeurs. Les utilisateurs doivent s’assurer d’avoir mis à jour les informations d’identification par défaut avec un mot de passe fort.
Publication mise à jour pour noter que l’administration à distance est désactivée par défaut.