Vulnérabilités dans les Routeurs Domestiques : Menaces Potentielles des Hackers
Une vulnérabilité affectant des millions de routeurs domestiques a été divulguée plus tôt ce mois-ci. Le 3 août, Tenable, une entreprise de cyberexposition, a découvert une vulnérabilité de contournement d’authentification affectant à la fois les routeurs domestiques et d’autres appareils de l’Internet des Objets (IoT) qui peut être exploitée par des cybercriminels.
Juniper Threat Labs a également mentionné que les cybercriminels peuvent utiliser une variante du malware Mirai pour exploiter la vulnérabilité des routeurs domestiques. Il y a déjà eu un détournement récent de routeurs domestiques d’au moins 20 fournisseurs, car ils utilisent la variante du malware Mirai pour mener des attaques par déni de service distribué (DDoS). La vulnérabilité a été découverte chez des fournisseurs de routeurs domestiques tels que ADB, Arcadyan, ASMAX, ASUS, Beeline, British Telecom, Buffalo, Deutsche Telekom, HughesNet, KPN, O2, Orange, Skinny, SparkNZ, Telecom [Argentine], TelMex, Telstra, Telus, Verizon et Vodafone. Ces routeurs domestiques utilisent le firmware Arcadyan, qui est vulnérable à l’attaque.
Les chercheurs de Tenable ont suivi la faille de sécurité sous le nom de CVE-2021-20090. Un concept de preuve (POC) a été publié par Tenable indiquant que les cyberattaquants peuvent infiltrer un appareil en activant Telnet sur le routeur domestique et obtenir un certain accès à l’appareil. L’attaquant peut ensuite lancer une attaque DDoS sur tous les appareils connectés au routeur domestique.
Selon Tenable, « Lorsqu’un POC [preuve de concept] d’exploit est publié, il leur faut souvent très peu de temps pour l’intégrer à leur plateforme et lancer des attaques. Les chercheurs ont également noté que la plupart des organisations n’ont pas de politiques pour appliquer des correctifs dans les quelques jours, prenant parfois des semaines pour réagir. Mais dans le cas des appareils IoT ou des passerelles domestiques, la situation est bien pire car la plupart des utilisateurs ne sont pas technophiles et même ceux qui le sont ne sont pas informés des vulnérabilités potentielles et des correctifs à appliquer.
Les menaces potentielles via la variante de Mirai
Juniper Network a découvert l’exploitation de routeurs domestiques via le malware Mirai. Les cybercriminels peuvent changer leur adresse IP pour une située en Chine et lancer une attaque sur des routeurs vulnérables.
Ils ont dit, « Nous avons identifié certains modèles d’attaque qui tentent d’exploiter cette vulnérabilité dans le wild, provenant d’une adresse IP située à Wuhan, province du Hubei, Chine. L’attaquant semble tenter de déployer une variante de Mirai sur les routeurs affectés. »
Une attaque sur un routeur domestique peut représenter plusieurs menaces pour un individu ou une entreprise. Jake Williams de BreachQuest a souligné l’effet de l’attaque. Il a dit : « Un acteur de menace qui compromet un routeur peut exécuter des attaques de type homme-du-milieu complètes sur tout le trafic le traversant, mais le scénario le plus probable est un acteur de menace utilisant ces dispositifs dans le cadre d’un botnet, qui pourrait être utilisé pour la numérisation de vulnérabilités distribuée, l’exploitation, la devinette de mots de passe, ou dans le cas le plus probable, une attaque par déni de service distribué (DDoS). »
Selon Williams, une vulnérabilité dans l’interface utilisateur d’un routeur domestique pourrait donner à un attaquant l’accès à la connexion de l’appareil, lui permettant potentiellement de modifier les paramètres ou d’ajouter des logiciels malveillants. Il a cependant ajouté que la plupart des routeurs modernes n’exposent pas leur interface à l’internet public.
Qu’est-ce que la Variante Mirai
Mirai est un botnet qui cible les appareils de l’Internet des Objets (IoT) — comme les routeurs domestiques, les enregistreurs vidéo numériques et les caméras internet — et les transforme en appareils qui piratent d’autres machines. Le botnet Mirai, qui se propage de lui-même, est considéré comme responsable de plus d’un demi-million d’appareils IoT compromis qui ont été utilisés pour mener d’énormes attaques DDoS atteignant jusqu’à 1 Tbps.
Mirai a été repéré pour la première fois en 2016 lorsque des hackers ont lancé une attaque à grande échelle sur le service de système de noms de domaine (DNS) de Dyn. Cela a causé la panne de nombreux sites majeurs pendant des heures, y compris Twitter, Amazon, Reddit et Netflix. Le code de Mirai a été publié en novembre de cette année-là, et depuis, de nombreuses variantes différentes ont émergé.
Atténuer les Attaques Potentielles
Selon les chercheurs, la vulnérabilité dans les routeurs domestiques se trouve dans leur firmware. Elle est causée par une lacune dans les politiques de mise à jour, le patching de la part des fournisseurs de routeurs domestiques, ainsi que leur dépendance vis-à-vis des projets open source pour le code. Typiquement, ces trois composants critiques des routeurs domestiques ne sont pas sécurisés, ce qui en fait une cible facile pour les cybercriminels.
Certains routeurs domestiques utilisent des logiciels obsolètes et disposent de peu ou pas de politique de mise à jour pour traiter les risques de sécurité. Ils manquent également de correctifs et de mises à jour pour résoudre les failles identifiées. Cela peut être dû à un manque de financement de la part du fabricant du routeur domestique, ce qui les rend également vulnérables aux attaques de pirates informatiques.
Les chercheurs ont conseillé aux fournisseurs de proposer des mises à jour automatiques pour atténuer les attaques potentielles. Juniper a déclaré : « La seule manière sûre de remédier à ce problème est d’exiger des fournisseurs qu’ils proposent des mises à jour automatiques sans interruption. »
Les utilisateurs peuvent également mettre à jour le firmware de leur routeur domestique et rester informés sur les vulnérabilités pour éviter les compromissions sur leurs appareils. De plus, l’utilisation d’un VPN sur un routeur domestique peut également aider à prévenir les cyberattaques.
Conclusion
Les chercheurs ont découvert des vulnérabilités dans les routeurs domestiques qui peuvent déclencher des attaques DDOS de la part de cybercriminels. La vulnérabilité a déjà été trouvée chez environ 20 fournisseurs de routeurs domestiques. Les cyberattaquants lancent ces attaques via la variante Mirai et affectent tous les appareils connectés au routeur. Les utilisateurs doivent mettre à jour leur firmware et prendre d’autres précautions pour prévenir les attaques.