Mirai est-il en train de gagner du terrain sur les réseaux d’objets connectés ? Quelques jours après que le journaliste Brian Krebs, spécialisé en sécurité, a révélé que le code source de Mirai est disponible en ligne, la société Sierra Wireless a lancé une alerte auprès de l’ISC-CERT, la division dédiée aux systèmes de contrôle industriels du centre d’alerte de sécurité américain.
Estampillée ICS-ALERT-16-286-01, l’alerte de l’entreprise canadienne spécialisée dans les solutions de connectivité cellulaire des objets précise simplement que les appareils dont les comptes de connexion par défaut n’ont pas été changés s’exposent au malware. D’autant que ces couples identifiants/mots de passe « sont publiquement disponibles ». Un appareil infecté par Mirai pourrait être intégré à un botnet pour lancer des attaques DDoS (Distributed Denial of Service) comme celles qu’ont subi le site Krebsonsecurity et des clients d’OVH, qui a dû essuyer des charges réseau allant jusqu’à 1,6 Tbit/s. Sont particulièrement visés les composants de connexion LS300, GX400, GX/ES440, GX/ES450 et RV50 de Sierra Wireless.
L’alerte précise le mode opératoire de Mirai. Une fois en place sur la passerelle de communication, le malware s’installe en mémoire puis part à la recherche d’appareils vulnérables. Il fait ensuite remonter les informations récupérées via un serveur de commandes et contrôle (C&C). Conséquence : du trafic anormal sur les ports 23/TCP et 48101/TCP susceptibles d’alerter l’administrateur ou l’opérateur d’une recherche d’appareils vulnérables ou d’une attaque DDoS en cours. Pour y palier, Sierra recommande de rebooter l’appareil (pour détruire Mirai de la mémoire) et de changer de mot de passe.
L’ICS-CERT insiste sur le fait que la faille vient de la gestion de la configuration des appareils lors de leur déploiement. « Il n’y a pas de vulnérabilité de logiciel ou matériel exploitée dans les appareils Sierra Wireless par le malware Mirai. » Il n’en reste pas moins que l’infection est en cours. Dans une note publiée en parallèle le 4 octobre, le fournisseur confirme que « le malware Mirai infecte des gateway AirLink qui utilisent le mot de passe par défaut d’ACEmanager (la console d’administration qui permet de gérer l’objet à distance, NDLR) et sont accessibles depuis l’Internet public. »
L’entreprise canadienne ne précise pas le nombre de ses appareils potentiellement infectés. Selon le moteur de recherche spécialisé sur les objets connectés Shodan, plus de 30 000 passerelles AirLink sont accessibles depuis Internet. Essentiellement aux Etats-Unis. Combien avec le mot de passe d’administration par défaut ?
Mirai n’est pas le seul malware à exploiter les objets connectés pour opérer des attaques Internet. La semaine dernière, l’expert en sécurité qui avait mis la main sur Mirai a annoncé, sur son blog Malware Must Die, avoir découvert Linux/NyaDrop, une nouvelle menace qui s’en prend aux architectures MIPS que l’on retrouve notamment au cœur des routeurs et autres éléments de réseau. Une grande carrière semble s’ouvrir pour les botnet IoT.
Lire également
DDoS : le code du botnet IoT Mirai mis en libre-service
Krebs en ligne après une attaque DDoS dopée par un réseau IoT
Une faille dans OpenSSH âgée de 12 ans fragilise l’IoT
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…