Vous avez un routeur D-Link, LG, Belkin, Zyxel, Asus ou Netgear ? Il fait peut-être partie depuis longtemps d’un botnet contrôlé par des pirates.

Les attaques DDoS par des botnets en croissance constante sont désormais un véritable défi pour les experts en cybersécurité. Mais la croissance n’est pas surprenante lorsque des vulnérabilités vieilles d’un an et demi peuvent encore être exploitées un million de fois. Les fabricants de routeurs et les clients finaux doivent agir de toute urgence.

Plusieurs botnets ont exploité une ancienne vulnérabilité au cours de la dernière année

Les chercheurs en sécurité de Palo Alto Networks ont remarqué une augmentation significative des cyberattaques exploitant la vulnérabilité CVE-2021-35394 au second semestre 2022. Et cela malgré le fait que le fabricant de puces responsable avait déjà fermé la vulnérabilité dans son SDK Realtek Jungle le 15 août 2021.

Entre août 2021 et décembre 2022, le «Unité 42” a déclaré l’équipe de recherche a trouvé un total de 134 millions de tentatives d’exploitation. Cependant, selon le rapport des experts en sécurité, 97% de cela n’a eu lieu qu’à partir d’août 2022.

Depuis septembre 2022, un nouveau malware botnet appelé «RedGoBot” ont été impliqués dans de nombreuses attaques contre des appareils IoT vulnérables. Il a utilisé la vulnérabilité Realtek pour effectuer des attaques DDoS sur les protocoles HTTP, ICMP, TCP, UDP, VSE et OpenVPN.

Cependant, d’autres botnets bien connus tels que Mirai, Gafgyt, Mozi, Fodcha et leurs dérivés ont également utilisé CVE-2021-35394 pour infiltrer de nombreux autres routeurs.

Outre les États-Unis, d’où provenaient près de la moitié de toutes les attaques, les botnets opéraient également depuis le Vietnam, la Russie, les Pays-Bas, la France, le Luxembourg et l’Allemagne. Selon les chercheurs, cependant, il est évident que les attaquants ont dissimulé leur origine réelle en utilisant des proxies et des VPN.

Il y a un besoin d’action de la part des fabricants et des utilisateurs

Avec un CVSS de 9,8, CVE-2021-35394 peut définitivement être classé comme critique. Toutes les versions de Realtek Jungle SDK de 2.0 à 3.4.14B sont vulnérables. Grâce à une faille de corruption de mémoire, la vulnérabilité permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur les appareils concernés.

Les nombreux routeurs qui peuvent ainsi être infiltrés par des botnets incluent des modèles de D-Link, LG, Belkin, Zyxel, Asus et Netgear. Les désignations exactes des modèles peuvent être trouvées dans une communication de Onekey GmbH d’août 2021.

Le gros problème est que les fabricants et les clients finaux ont tendance à négliger les nombreux appareils IoT lorsqu’il s’agit de mises à jour logicielles. Ce n’est pas parce que Realtek a corrigé la vulnérabilité le 15 août 2021 que les fabricants d’appareils ont transmis le correctif sous la forme d’une mise à jour du micrologiciel.

Et puis il y a le client final, qui doit également accepter d’installer une mise à jour mise à disposition. Cependant, comme on le sait, cela ne s’accompagne pas toujours d’avantages. La plupart des utilisateurs configurent les appareils IoT une fois, puis ne s’en soucient plus. Fidèle à la devise : « Ne touchez jamais un système en marche.”

Mais que la responsabilité revienne au fabricant ou au client final, une chose est évidente. Le nombre de routeurs encore vulnérables à l’ancienne vulnérabilité est tout simplement trop élevé. Pour les botnets, cela équivaut à un festin.