Des routeurs Linksys vulnérables aux attaques du ver TheMoon
Les attaques au niveau 7 (HTTP) monopolisent actuellement l'attention des responsables de la sécurité. Mais celles au niveau réseau 3 et 4 n'ont pas disparu pour autant, les failles de certains routeurs Linksys (*) le montrent.
Des chercheurs du SANS Institue, travaillant sur le programme Internet Storm Centrer (ISC) ont émis récemment une alerte à propos d'incidents dans lesquels les routeurs Linksys E1000 (en photo) et E1200 ont été compromis. Ces chercheurs ont annoncé qu'ils cherchaient à isoler le malware responsable dans un de leurs systèmes volontairement exposé aux attaques. Celles-ci semblent provenir d'un ver (programme qui s'autoréplique) qui infecte les routeurs LInksys et qui les utilisent pour rechercher les équipements vulnérables. Dans son blog, Johannes Ullirich, directeur technique chez SANS, déclare : «nous n'avons pas établi une liste exhaustive des routeurs concernés. » Cependant, il estime que, selon la version de leur firmware, les E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 et E900 pourraient être des cibles.
Le ver a été surnommé TheMoon parce qu'il contient le logo de Lunar Industries, une société de fiction dans le film de 2009 « The Moon ». Le malware commence par une requête /HNAP1/ URL des équipements situés derrière les adresses IP scannées. HNAP (Home Network Administration Protocol), développé par Cisco, permet l'identification, la configuration et le management des équipements réseaux. Cette requête vise à identifier le modèle de routeur et sa version firmware. S'il le reconnaît comme vulnérable, il envoie alors un script CGI (Common Gateway Interface) spécifique qui permet l'exécution de commandes locales sur l'équipement.
Il recherche d'autres équipements à infecter
SANS n'a pas révélé le nom du script CGI parce que « la requête ne nécessite pas d'authentification. Le ver envoie des références "admin" aléatoires que le script ne vérifie pas », ajoute Johannes Ullirich. Le ver exploite cette vulnérabilité pour télécharger et exécuter un fichier binaire au format ELF (Executable and Linkable) compilé pour les plateformes MIPS. Une fois exécuté, le fichier ELF recherche d'autres équipements à infecter. Il ouvre également un serveur HTTP. Il contient en outre une liste de 670 adresses IP apparemment liées aux connexions câbles ou modems d'IPS dans différents pays.
Le but de ce malware n'est pas encore connu. Mais on découvre dans le fichier binaire des chaînes de caractères (strings) qui suggèrent l'existence d'instructions de type « commande et contrôle » capables de constituer un botnet que des pirates pourraient déclencher à distance. Linksys connaît l'existence de cette vulnérabilité dans certains routeurs de la E-Series et travaille à une parade, a annoncé l'un de ses porte-parole.
Pour sa part, Johannes Ullirich a donné quelques conseils dans son blog. Par exemple, les routeurs qui ne sont pas configurés pour être administrés à distance ne sont pas directement exposés. Une restriction d'accès à l'interface d'administration par adresse IP peut réduire le risque. Choisir un autre port que le 80 ou le 8080 constitue une autre mesure susceptible de contrecarrer cette attaque.
(*) Linksys a été rachetée par Belkin à Cisco en jnavier 2013
