Des millions de routeurs et d'appareils IoT menacés par cette vulnérabilité

Des millions de routeurs et autres appareils menacés

Selon un fournisseur de sécurité, " BotenaGo " contient exploits pour plus de 30 vulnérabilités dans les produits de plusieurs fournisseurs et est utilisé pour propager le malware du botnet Mirai. Les auteurs de ce logiciel malveillant dangereux ciblant des millions de routeurs et d'appareils Internet des objets (IoT) ont téléchargé son code source sur GitHub. Cela signifie que d'autres criminels peuvent désormais générer rapidement de nouvelles variantes de l'outil ou l'utiliser tel quel pour mener leurs campagnes. Vous pourriez être intéressé par la façon de savoir si votre adresse IP fait partie d'un botnet et comment l'éviter.

Les chercheurs d'AT&T Alien Labs ont été les premiers à repérer ce malware et l'ont nommé BotenaGo. Ce malware est écrit en Go, un langage de programmation devenu très populaire parmi les cybercriminels. Dans ce cas il vient rempli d'exploits pour plus de 30 vulnérabilités qui affectent de nombreuses marques , y compris Linksys, D-Link, NETGEAR et ZTE.

Comment fonctionne ce malware

Quant à BotenaGo, il a été conçu pour exécuter des commandes shell distantes sur des systèmes où une vulnérabilité a été exploitée avec succès. L'année dernière un Analyse AT&T Alien Labs a d'abord découvert que le logiciel malveillant BotenaGo utilisait deux méthodes différentes pour recevoir des commandes afin d'attaquer les victimes. Ces deux procédures consistent à :

1. Ils ont utilisé deux portes dérobées pour écouter et recevoir les adresses IP des appareils cibles.
2. Ils configurent un écouteur pour les entrées utilisateur d'E/S système et reçoivent les informations de destination par son intermédiaire.

Ces chercheurs ont également découvert que le logiciel malveillant est conçu pour recevoir des commandes d'un serveur distant, il n'a aucune communication de commande et de contrôle active. Ils ont donc supposé que BotenaGo faisait partie d'un plus grand paquet de logiciels malveillants et probablement l'un des multiples outils utilisés dans une attaque. De plus, les liens de charge utile se sont avérés similaires à ceux utilisés par le malware botnet Mirai. On pourrait en déduire que BotenaGo est probablement un nouvel outil des opérateurs Mirai.

Appareils IoT et millions de routeurs concernés

Les raisons pour lesquelles le Code source de BotenaGo a été publié via GitHub ne sont pas clairs. Cependant, les conséquences possibles peuvent être estimées. le la publication du code source pourrait augmenter considérablement les variantes de BotenaGo . La raison en est que d'autres auteurs de logiciels malveillants utilisent et adaptent le code source à leurs objectifs spécifiques et à leurs campagnes d'attaque. Cela affectera sans aucun doute des millions de routeurs et d'appareils IoT. Les marques concernées devront travailler dur pour corriger les vulnérabilités et publier les mises à jour correspondantes dès que possible pour protéger ces ordinateurs. En outre, l'un des serveurs de charge utile BotenaGo figure également sur l'indicateur de liste de compromis des vulnérabilités Log4j récemment découvertes.

Quant au malware BotenaGo, il se compose de seulement 2,891 30 lignes de code et peut être un bon point de départ pour de nouvelles variantes. De plus, le fait qu'il regorge d'exploits pour plus de XNUMX vulnérabilités pour des millions de routeurs et d'appareils IoT est un autre facteur que les auteurs de logiciels malveillants sont susceptibles de trouver attrayant. Parmi les nombreuses vulnérabilités que BotenaGo peut exploiter, on trouve :

• CVE-2015-2051 affectant certains routeurs Wi-Fi D-Link.
• CVE-2016-1555 affectant les produits Netgear,
• CVE-2013-3307 sur les appareils Linksys.
• CVE-2014-2321 affectant certains modems câble ZTE.

Enfin, fait inquiétant, selon AT&T Alien Labs, seuls trois des 60 antivirus VirusTotal sont actuellement capables de détecter ce malware.