Un demi-million de routeurs infectés par des pirates, Réactions à la publication du 24/05/2018

[Lionel]

Des chercheurs de Cisco ont annoncé avoir découvert un malware baptisé VPN Filter ayant infecté un demi million de routeurs.

Cela concerne nombre de produits, des routeurs Linksys, MikroTik, Netgear, TP-Link et des NAS QNAP.

Une fois le routeur pris sous contrôle, les pirates peuvent récupérer les données qui transitent mais aussi utiliser la puissance et la bande passante des appareils pour perpétrer des attaques.

Comme toujours, la principale difficulté pour en venir à bout sera autant de développer des patchs que d'arriver à informer et convaincre les propriétaires de ces appareils de les appliquer.

[MàJ] Le FBI appelle les propriétaires de routeurs à les redémarrer. En effet, l'attaque n'étant pas persistante après redémarrage, ils ne participeront plus à des attaques après cela, tout du moins jusqu'à ce qu'ils soient de nouveau infectés ou qu'une mise à jour de leurs fabricants ne comble la faille.

Lien vers le billet original

[Applecherry]

Dire "un demi million" plutôt que "500.000" c'est un peu alarmiste je trouve. Même si il y a de quoi être alarmé.

[Pat94]

Le grand jeux du gendarme et du voleur continu, à chaque protection, "sa parade" et à chaque parade sa nouvelle protection.

[ericb2]

Je parie que c'est beaucoup plus. Et quand on connaît la crédibilité de cisco, on ne s'en fait pas trop ^ ^

[Lionel]

Dire "un demi million" plutôt que "500.000" c'est un peu alarmiste je trouve. Même si il y a de quoi être alarmé.

On me l'avait jamais faite celle-là.
Mais bon rassure toi, mathématiquement c'est la même chose et je n'aurait pas parlé d'un vingt-millième de milliard...

[Licorne31]

En pratique, la vérole est-elle persistante si on éteint (physiquement : coupure d'alimentation) le routeur entre deux sessions d'usage d'Internet?

[kwak-kwak]

En pratique, la vérole est-elle persistante si on éteint (physiquement : coupure d'alimentation) le routeur entre deux sessions d'usage d'Internet?

Brief technical breakdown


The VPNFilter malware is a multi-stage, modular platform with versatile capabilities to support both intelligence-collection and destructive cyber attack operations.

The stage 1 malware persists through a reboot, which sets it apart from most other malware that targets internet-of-things devices because malware normally does not survive a reboot of the device. The main purpose of stage 1 is to gain a persistent foothold and enable the deployment of the stage 2 malware. Stage 1 utilizes multiple redundant command and control (C2) mechanisms to discover the IP address of the current stage 2 deployment server, making this malware extremely robust and capable of dealing with unpredictable C2 infrastructure changes.

The stage 2 malware, which does not persist through a reboot, ...

Donc oui, le malware résiste en partie à un redémarrage électrique du routeur (en phase 1). Cette phase 1 permet d'initialiser une phase 2, qui elle ne résiste pas à un redémarrage.


Pour ma part j'aimerai bien mettre à jour mon routeur TP-Link... Si seulement une mise à jour était proposée de temps en temps. Ma seule parade actuellement est d'utiliser un firmware custom, type DD-WRT.

Ce message a été modifié par kwak-kwak - 24 May 2018, 07:41.

[Cronos]

je suppose que les livebox ou les freebox ne sont pas concernés?

[cayou2000]

Dire "un demi million" plutôt que "500.000" c'est un peu alarmiste je trouve. Même si il y a de quoi être alarmé.

On me l'avait jamais faite celle-là.
Mais bon rassure toi, mathématiquement c'est la même chose et je n'aurait pas parlé d'un vingt-millième de milliard...

Raté. C'est un deux millième de milliard pour être précis....
Plus d'info sur les nas qnap?

[shawnscott]

Le grand jeux du gendarme et du voleur continu, à chaque protection, "sa parade" et à chaque parade sa nouvelle protection.

Sauf que, comme l'indique Lionel dans sa brève, les fabricants ne communiquent pas vraiment sur les éventuels patches. Je m'étonne personnellement de n'avoir jamais reçu de message de la part de Netgear ou D-Link alors que je me suis enregistré en tant qu'utilisateur de leurs produits…

[raoulito]

Petite histoire personnelle maintenant qui pourtant a sûrement été déjà vécu par d'autres je viens d'acheter deux borne AirPort Express d'occasion plus une borne Airport extrême.
Les origines sont diverses l'une est américaine l'autre est anglaise la troisième est parisienne. Dans les 3 cas, la mise a jour du firmware n'etait pas faite, et c pas une simple histoire de remise à niveau d'usine par le vendeur, car dans les 3 cas j'ai du réinitialiser manuellement le bouzin.
J'attend une derniere allemande aujourd'hui ou demain on verra si les teutons font mieux...


Tout ca pour pluessoyer avec force iApx et ici Lionel sur le travail a faire côté utilisateurs ( en pleine mettre a jour les bornes airport, franchement c peanuts...)

[marc_os]

Dire "un demi million" plutôt que "500.000" c'est un peu alarmiste je trouve. Même si il y a de quoi être alarmé.

On me l'avait jamais faite celle-là.
Mais bon rassure toi, mathématiquement c'est la même chose et je n'aurait pas parlé d'un vingt-millième de milliard...

Pour une fois je plussoie !
Si « il y a de quoi être alarmé », alors il n'y a pas de quoi être choqué par un titre « un peu alarmiste », non ?

[RaelRael]

Moi je connecte très peu mon NAS à internet pour eviter ce genre de problème.

[iAPX]

...
Pour ma part j'aimerai bien mettre à jour mon routeur TP-Link... Si seulement une mise à jour était proposée de temps en temps. Ma seule parade actuellement est d'utiliser un firmware custom, type DD-WRT.

C'est vraiment ce que je conseille et de limiter absolument ce qui est accessible de l'extérieur, surtout pas d'interface web exposée, des mot-de-passe forts, désactiver les saloperies genre UPnP (trop utilisés et exposant à des poursuites pouvant aller jusqu'au criminel quand exploité par d'autres), etc etc.

Les "routeurs" sont des serveurs au sens propre, qui servent en plus de passerelles entre chez-soi (ou son travail) et le monde extérieur ils ont un pied de chaque côté et comme bien expliqué dans ce qu'a sorti Cisco hier, les menaces de ces malware sont nombreux et ça prends de l'ampleur.
En même temps on parle de millions de routeurs exploitées via des failles de l'UPnP par des malfaisants pour effacer leurs traces, sans attaquer l'intérieur (mais l'UPnP le permet aussi dans de nombreux cas), qui peuvent amener leurs propriétaire à être indûment considérés comme les responsables des actions effectuées au travers de leurs routeurs, ça se généralise actuellement.

Encore une fois, les Français sont chanceux car les "box" fournies par les opérateurs sont relativement sûres et suivies.

Ce message a été modifié par iAPX - 24 May 2018, 11:49.

[raoulito]

désactiver les saloperies genre UPnP

fait, je ne sais pas quel logiciel ne foncitonnera plus maintenant ?

[iAPX]

désactiver les saloperies genre UPnP

fait, je ne sais pas quel logiciel ne foncitonnera plus maintenant ?

Ça pourrait compliquer ta vie si tu utilises une imprimante réseau partagée ou un NAS qui s'expose à travers le routeur en uPnP (ouvrant alors un port sur le routeur redirigé aimablement par celui-ci vers le périphérique réseau concerné), mais à la place tu peux lui donner une adresse IP fixe et utiliser celle-ci, voir (soyons fou!) modifier /etc/hosts pour utiliser un nom ou plus avancé si tu possèdes un nom de domaine, créer un sous-domaine (ou sous-sous domaine) pour accéder aux différentes composant de ton réseau. J'utilisais cela au milieu des années 90, mais maintenant les imprimantes et autres joujoux ne sont plus en réseau.

AppleTV off, lecteur de média sans réseau (disque en USB et clés USB), TV sans réseau, imprimante/scanner/fax/cafetière sans réseau, PC sans réseau (ah?!?), appareils photos wifi sans réseau (wifi désactivé), etc
Ça ne me complique pas la vie, au contraire pour nombre de choses, et en revanche ça réduit énormément la surface d'attaque potentielle avec deux principes de bases: si ça marche bien sans réseau on coupe le réseau, si ça n'est pas maintenu régulièrement on coupe le réseau (ou on va voir ailleurs si c'est indispensable).

PS: dans l'attaque mentionné dans l'article j'avoue que j'adore l'utilisation de méta-données EXIF de photos mises à disposition publiquement sur le web pour aller chercher de l'info, une variante assez intéressante de l'exploitation de commentaires sur des feed twitter de personnalités (donc destiné à rester sur la durée).
Je pense qu'au prochain coup ils vont utiliser des techniques plus avancées comme des variations de résolution sur des points-clé de photos pour stocker de l'info, au lieu des méta-data ou de modification de l'image: ça devrait bien supporter la re-compression voir mise à l'échelle ou même un micro-contraste poussé donc être utilisable à travers n'importe quel fournisseur publique

Ce message a été modifié par iAPX - 24 May 2018, 12:50.

[STRyk]

C'est quand même dingue que des trous soient autant courants.
Je veux bien que ça coute cher à fabriquer, c'est du temps mais au final on a l'impression que tout est fait à l'arraché pour vendre du matériel.
Les conséquences sont dingues !
On paye les pots cassés du "vite, vite, on fait du fric, il faut vendre" et ce n'est pas fini...

Ce message a été modifié par STRyk - 24 May 2018, 12:39.

[marc_os]

C'est quand même dingue que des trous soient autant courants.

J'fais des trous des p'tits trous encore des p'tits trous
Des p'tits trous des p'tits trous toujours des p'tits trous
Des trous de seconde classe
Des trous d'premiere classe.

J'fais des trous des p'tits trous encore des p'tits
Des p'tits trous des p'tits trous toujours des p'tits trous
Des petits trous des petits trous des petits trous des petits trous.

[yponomeute]

C'est quand même dingue que des trous soient autant courants.
Je veux bien que ça coute cher à fabriquer, c'est du temps mais au final on a l'impression que tout est fait à l'arraché pour vendre du matériel.
Les conséquences sont dingues !
On paye les pots cassés du "vite, vite, on fait du fric, il faut vendre" et ce n'est pas fini...

Je trouve ça logique. Tout simplement parce que les personnes compétentes en matière de sécurité sont je pense assez rares à trouver, voir très rares. Et je doute fort que ces compétences existent dans beaucoup d'entreprises.

[Pixelux]

Je ne veux pas être alarmiste. Ce que je vais dire est seulement à prendre en note pour une éventuelle confirmation. Je veux dire par là que je manque de source.

Il commence à y avoir des gens qui commence s'exprimer ouvertement au sujet d'un possible conflit majeur au Moyen Orient.

Il ne faut pas partir en peur avec ce que je dis-là mais il faut comprendre que le discours change et devient de plus en plus guerrier.

Je suis d'avis, qu'il commence à être d'actualité de penser à comment on peut faire pour protéger nos capacité informatique.

Ce message a été modifié par Pixelux - 24 May 2018, 13:43.

[iAPX]

...
Je suis d'avis, qu'il commence à être d'actualité de penser à comment on peut faire pour protéger nos capacité informatique.

+1 ce ne sont plus des capacités "informatique" mais par l'ubiquité et le côté indispensable pour nos travails mais aussi dans nos vies, c'est une autre part de notre environnement qui nécessite d'être considéré puis traité avec attention.

Et la plupart des fabricants de routeurs sont des grosses brêles, Cisco tout autant que la plupart des autres (plus encore, à cause de leurs backdoors!), ils sont d'une inconscience criminelle pour la plupart à ne pas avoir de programme de mise-à-jour sérieux, suivi et surtout très réactif.
La plupart des routeurs ont de vieilles failles de sécurité intégrées dès la sortie de la boîte, à commencer par leur configuration par défaut, et la plupart de celles-ci ne seront pas fixées, sans compter que rien n'est fait pour que l'utilisateur soit informé des mises-à-jours si tant est qu'il y en ai.

Ce ne sont pas les seuls, le problème est similaire dans le monde des IoT, mais eux sont limité à un réseau et non à la fois la passerelle vers le réseau local et aussi des serveurs sur Internet!

[zero]

Le grand jeux du gendarme et du voleur continu, à chaque protection, "sa parade" et à chaque parade sa nouvelle protection.

Sauf que, comme l'indique Lionel dans sa brève, les fabricants ne communiquent pas vraiment sur les éventuels patches.

Ni les F.A.I. Ce sont les mieux placés pour le faire pourtant.

[iAPX]

Le grand jeux du gendarme et du voleur continu, à chaque protection, "sa parade" et à chaque parade sa nouvelle protection.

Sauf que, comme l'indique Lionel dans sa brève, les fabricants ne communiquent pas vraiment sur les éventuels patches.

Ni les F.A.I. Ce sont les mieux placés pour le faire pourtant.

En France vous êtes chanceux: leurs box sont bien suivies et mises-à-jours par l'opérateur, et à la limite ça ne me gêne pas qu'ils ne communiquent pas sur leurs MAJ du moment qu'ils les fassent automagiquement

[johnstone]

...
Et la plupart des fabricants de routeurs sont des grosses brêles, Cisco tout autant que la plupart des autres (plus encore, à cause de leurs backdoors!), ils sont d'une inconscience criminelle pour la plupart à ne pas avoir de programme de mise-à-jour sérieux, suivi et surtout très réactif.
La plupart des routeurs ont de vieilles failles de sécurité intégrées dès la sortie de la boîte, à commencer par leur configuration par défaut, et la plupart de celles-ci ne seront pas fixées, sans compter que rien n'est fait pour que l'utilisateur soit informé des mises-à-jours si tant est qu'il y en ai.

Ouais, il ne faut quand même pas exagérer! Cisco ou Juniper ont des programmes de mises à jour et fixes bien en place, et il ne faut pas les prendre pour des brêles. Ce sont souvent les clients (possesseurs de routeurs) qui sont le maillon faible.

[iAPX]

...
Et la plupart des fabricants de routeurs sont des grosses brêles, Cisco tout autant que la plupart des autres (plus encore, à cause de leurs backdoors!), ils sont d'une inconscience criminelle pour la plupart à ne pas avoir de programme de mise-à-jour sérieux, suivi et surtout très réactif.
La plupart des routeurs ont de vieilles failles de sécurité intégrées dès la sortie de la boîte, à commencer par leur configuration par défaut, et la plupart de celles-ci ne seront pas fixées, sans compter que rien n'est fait pour que l'utilisateur soit informé des mises-à-jours si tant est qu'il y en ai.

Ouais, il ne faut quand même pas exagérer! Cisco ou Juniper ont des programmes de mises à jour et fixes bien en place, et il ne faut pas les prendre pour des brêles. Ce sont souvent les clients (possesseurs de routeurs) qui sont le maillon faible.

Un programme de mise-à-jour doit être gratuit et assumé des années, en prévenant les clients et en les traitant tous à égalité pour accès aux mises-à-jours incluant l'accès immédiat à celles-ci, sans compter les backdoors à répétition dans les deux (et nombreuses pour chacun!), et quand aux failles des deux susnommées, ça en serait presque gag si ce n'était si triste!

Deux exemples: CISCO avec un mot-de-passe hard-codeé (il y a une semaine), 17 mois pour fixer une bug identifiée permettant de prendre le controle à distance chez Juniper (août 2017, faille trouvée en mars 2016).

Ils se prétendent dans le domaine de la sécurité et sont bien plus mauvais que des OS ou logiciels grand-public?!?

Ce message a été modifié par iAPX - 24 May 2018, 16:43.

[johnstone]

Un programme de mise-à-jour doit être gratuit et assumé des années, en prévenant les clients et en les traitant tous à égalité pour accès aux mises-à-jours incluant l'accès immédiat à celles-ci, sans compter les backdoors à répétition dans les deux (et nombreuses pour chacun!), et quand aux failles des deux susnommées, ça en serait presque gag si ce n'était si triste!

C'est compris dans les contrats de maintenance HW/SW et de support sans lesquels tu ne peux pas travailler. Je ne cherche pas à justifier leurs erreurs, certaines sont inadmissibles je suis d'accord avec toi. D'ici à dire que ce sont des brêles, c'est un peu rapide comme raccourci quand on connait ces sociétés.

[iAPX]

Un programme de mise-à-jour doit être gratuit et assumé des années, en prévenant les clients et en les traitant tous à égalité pour accès aux mises-à-jours incluant l'accès immédiat à celles-ci, sans compter les backdoors à répétition dans les deux (et nombreuses pour chacun!), et quand aux failles des deux susnommées, ça en serait presque gag si ce n'était si triste!

C'est compris dans les contrats de maintenance HW/SW et de support sans lesquels tu ne peux pas travailler. Je ne cherche pas à justifier leurs erreurs, certaines sont inadmissibles je suis d'accord avec toi. D'ici à dire que ce sont des brêles, c'est un peu rapide comme raccourci quand on connait ces sociétés.

Mes deux exemples sont parlants en terme de médiocrité, et tu ne devrais pas avoir besoin d'un contrat de "maintenance" pour que des dispositifs qui valent la peau du cul par rapport à leur coût de fabrication soient à jour et sécurisés!

C'est totalement abusif comme modèle!

Si un constructeur automobile refusait de prendre une de ses voitures en rappel sur un problème de sécurité car son propriétaire n'a pas accepté de payer pour la maintenance par les enseignes du constructeur, ça poserait vite un gros problème.
Et en terme de sécurité informatique, c'est non seulement prendre le client en otage, mais aussi refuser d'assumer la responsabilité de ses erreurs.

Isilon a voulu nous faire le coup (et le coût) sur une grosse merde de son OS, j'ai donc tout viré

Ce message a été modifié par iAPX - 24 May 2018, 18:02.

[M_Marc]

Existe il une liste des firmware/appareils concernés?

[jb18v]

Existe il une liste des firmware/appareils concernés?

Suis le lien de la source dans l'article, vers la fin de la page il y a une liste de modèles (pas exhaustive) connus : "Known Affected Devices"

[otto87]

Mes deux exemples sont parlants en terme de médiocrité, et tu ne devrais pas avoir besoin d'un contrat de "maintenance" pour que des dispositifs qui valent la peau du cul par rapport à leur coût de fabrication soient à jour et sécurisés!

C'est totalement abusif comme modèle!

C'est marrant, ça fait penser à une autre boite