[MàJ] Un botnet infecte les routeurs et modems DSL

Un nouveau botnet, nommé "psyb0t", est capable d’infecter directement les routeurs et les modems DSL. La première activité du botnet a été détectée en Australie, ou il a infecté un Netcomm NB5 (Modem Routeur).

Le botnet a été analysé de manière plus approfondie par les membres de DroneBL qui analysent et cherchent en temps réel les PC zombies et machines vulnérables. Ces derniers ont conclu que "psyb0t" est "en phase de test". La première génération cible très peu de modèles de routeurs.

Cependant, le botnet plus récemment découvert (baptisé "version 18") vise un plus large éventail de modems/routeurs. Le fichier contient les codes pour attaquer plus de 30 modèles différents de Linksys, 10 Netgear et d’autres variétés de modems câbles et DSL (une quinzaine). Une liste de 6000 noms d’utilisateurs et 13000 mots de passe ont également été inclus. Cette liste serait utilisée pour forcer l’entrée Telnet et SSH (pour les connexions ouvertes), et WAN pour le côté public. Généralement, les routeurs n’ont pas de système de verrouillage ou utilisent une combinaison vulnérable (ex : admin : admin). Ce qui rend possible et très simple les attaques de type "brute force".

L’exploitation de modems/routeurs est plus utile que d’infecter des ordinateurs (pc zombies), car la plupart des modems/routeurs fonctionnent 24h/24h, à la différence des PC. L’attaque d’un routeur permet également aux pirates d’exploiter un réseau avec des niveaux plus élevés de transparence. Les membres DroneBL ont fait observer que l’exploit est très difficile à détecter. La seule façon de le découvrir est de surveiller le trafic en cours, à la sortie du routeur.

APC-Mag précise dans son article, que par le passé, les exploits sur des routeurs Cisco (qualité professionnelle) ont été plus faciles à détecter (Cisco prévoit le suivi interne et la configuration de la performance des ports). Malheureusement, la majorité des routeurs pour particuliers sacrifient ces caractéristiques dans un souci de réduction des coûts.

Les routeurs qui utilisent un processeur MIPS via Linux Mipsel (un système d’exploitation simple pour les processeurs MIPS) sont vulnérables, dans le cas, d’utilisation d’une combinaison (nom d’utilisateur - mot de passe) faible.

Toujours selon APC-Mag, le botnet est capable de scanner des groupes vulnérables, MySQL et PHPMyAdmin. Il peut également désactiver l’accès aux interfaces de contrôle d’un routeur. Une ré-initialisation usine sera nécessaire pour effacer le ver. DroneBL a tenté de fermer la chaîne de commandement que le botnet utilise. La tentative a été couronnée de succès ! Cependant, le botnet est soupçonné de contrôler 100 000 hôtes. L’auteur du botnet confiait, sur chat anonyme sur un canal IRC, avoir infecté 80.000 routeurs.

D’autres pirates exploiteront certainement cette vulnérabilité... Le pire reste donc à venir...

NB : Pour vous prémunir de cette attaque, n’ouvrez pas votre modem-routeur vers l’extérieur.

Mise à jour : La Freebox est invulnérable face à cette attaque. Selon Free, il n’y a "aucune chance."  ;)