Sécurité

Le logiciel malveillant VPNFilter infecte plus de routeurs qu’on ne le pensait

Il y a deux semaines, les chercheurs de Cisco en partenariat avec Symantec ont mis en garde contre VPNFilter, un logiciel malveillant qui a infecté 500 000 routeurs dans au moins 54 pays. On pensait que l’objectif principal de ce fléau était de créer des réseaux de zombies pour des attaques coordonnées ou de capturer des données spécifiques, comme des mots de passe. Aujourd’hui, les experts reviennent sur les lieux pour signaler que le VPNFilter peut atteindre encore plus d’équipements et effectuer plus d’actions qu’on ne le pensait auparavant.

Dans une déclaration récente, Talos, la division du renseignement de sécurité de Cisco, déclare que les premières analyses ont indiqué que le VPNFilter était destiné à mener des actions offensives, comme le crash ou le piratage d’un serveur spécifique. Mais on sait maintenant que les logiciels malveillants peuvent également intercepter le trafic pour, par exemple, injecter un code malveillant dans les pages affichées dans le navigateur.

Comme expliqué ci-dessus, les logiciels malveillants agissent en trois étapes. Dans un premier temps, il est installé dans le routeur et reste actif jusqu’à ce que l’équipement soit redémarré. Dans le second, les logiciels malveillants sont capables de collecter des données et d’exécuter des commandes. Dans la troisième, VPNFilter accède aux modules qui soutiennent les actions de la deuxième phase. Les chercheurs savent maintenant que dans la dernière phase, le fléau peut intercepter des données provenant d’appareils qui se trouvent sur le même réseau que l’équipement infecté.

  Comment rendre votre Chromebook encore plus sûr

Il s’agit d’une attaque de type “man-in-the-middle” : le trafic intercepté reçoit un code malveillant qui peut être utilisé, par exemple, pour modifier le contenu d’une page sans que l’utilisateur ne s’en aperçoive. Notez que le site n’est pas affecté sur le serveur ; c’est la page chargée dans le navigateur qui est modifiée.

Les logiciels malveillants peuvent même analyser l’URL pour trouver des signes de trafic d’informations sensibles, tels que les mots de passe et l’identité de l’utilisateur. Lors de l’interception, VPNFilter peut même essayer de déclasser une connexion du HTTPS au HTTP et ainsi capturer des données en texte plat.

Un autre détail inquiétant est que les logiciels malveillants sont utilisés pour des actions soigneusement sélectionnées – comme vider le compte bancaire d’une seule personne – et non pour intercepter autant de données que possible, ce qui pourrait faciliter le suivi et l’atténuation du parasite.

Équipements concernés

Les chercheurs de Talos expliquent que la liste des équipements vulnérables s’est considérablement allongée. Parmi eux figurent des routeurs et d’autres équipements de réseau de marques telles que Asus, D-Link et Huawei :

  Google renforce les règles pour rendre les extensions Chrome plus sûres

Asus :

  • RT-AC66U (nouveau)
  • RT-N10 (nouveau)
  • RT-N10E (nouveau)
  • RT-N10U (nouveau)
  • RT-N56U (nouveau)
  • RT-N66U (nouveau)
  • D-Link :

  • DES-1210-08P (nouveau)
  • DIR-300 (nouveau)
  • DIR-300A (nouveau)
  • DSR-250N (nouveau)
  • DSR-500N (nouveau)
  • DSR-1000 (nouveau)
  • DSR-1000N (nouveau)
  • Huawei :

  • HG8245 (novo)
  • Linksys :

  • E1200
  • E2500
  • E3000 (novo)
  • E3200 (novo)
  • E4200 (novo)
  • RV082 (novo)
  • WRVS4400N
  • Mikrotik :

  • CCR1009 (novo)
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 (novo)
  • CRS112 (novo)
  • CRS125 (novo)
  • RB411 (novo)
  • RB450 (novo)
  • RB750 (novo)
  • RB911 (novo)
  • RB921 (novo)
  • RB941 (novo)
  • RB951 (novo)
  • RB952 (novo)
  • RB960 (novo)
  • RB962 (novo)
  • RB1100 (novo)
  • RB1200 (novo)
  • RB2011 (novo)
  • RB3011 (novo)
  • RB Groove (novo)
  • RB Omnitik (novo)
  • STX5 (novo)
  • Netgear :

  • DG834 (novo)
  • DGN1000 (novo)
  • DGN2200
  • DGN3500 (novo)
  • FVS318N (novo)
  • MBRN3000 (novo)
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 (novo)
  • WNR4000 (novo)
  • WNDR3700 (novo)
  • WNDR4000 (novo)
  • WNDR4300 (novo)
  • WNDR4300-TN (novo)
  • UTM50 (novo)
  • QNAP :

  • TS251
  • TS439 Pro
  • Autres dispositifs NAS QNAP avec QTS
  • TP-Link :

  • R600VPN
  • TL-WR741ND (nouveau)
  • TL-WR841N (nouveau)
  • Ubiquiti :

  • NSM2 (nouveau)
  • EBS M5 (nouveau)
  • Upvel :

  • Modèles inconnus (nouveau)
  • ZTE :

      Examiner les logiciels publicitaires, les publicités envahissantes qui sont partout
  • ZXHN H108N (nouveau)
  • Il n’y a pas de moyen facile de savoir si un appareil est infecté, mais des soins de base aident à la prévention, comme le changement du mot de passe par défaut du routeur et l’installation de la dernière version de micrologiciel disponible pour l’équipement.

  • A propos de l'auteur

    Ronan

    Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

    Laisser un commentaire