Nouvelle variante de Mirai en cours de propagation

de | 28 novembre 2017

La propagation rapide d’une nouvelle variante du bornet Mirai semble avoir été détectée par des chercheurs de la société spécialisée en sécurité des réseaux informatiques Netlab 360.

Le botnet exploite deux vulnérabilités identifiées en 2016 dans les routeurs ZyXEL PK500Z. Il s’agit

  1. de comptes par défaut, qui permettent l’accès à distance aux routeurs ;
  2. d’un mot de passe caché écrit “en dur”, donc non-modifiable, qui permet à l’accédant de disposer de l’ensemble des droits sur le routeur.

Cette variante utilise un exploit, publié le 31 octobre 2017, basé sur ces deux vulnérabilités.

Pendant les 60 heures qui suivent le 22 novembre 2017, 11h, des scannes, provenant de  100 000 différentes adresses IP qui utilisent l’exploit, ont été identifiés.

Les IP sources et donc l’infection semblent se concentrer en Argentine où près de 67 000 routeurs ont été infectés. La majorité de ces routeurs ont été localisés dans le réseau de l’opérateur internet Telefonica situé en Argentine. L’opérateur a probablement livré des routeurs avec les identifiants et mots de passe par défaut !

Le botnet n’est pas persistent puisqu’un reboot du routeur soit suffisant son éradication du routeur.

A suivre !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *