mai 31st, 2018

Malware : VPNFilter, le meilleur ennemi des NAS et routeurs

Posté on 31 Mai 2018 at 11:38

C’est en chantonnant l’air d’Offenbach « J’entends le bruit des boot des boot des boot… » que le FBI conseille au monde entier au pire, de redémarrer certains modèles de routeurs et NAS, au mieux, de les initialiser en « configuration usine » en prenant soin de ne pas conserver le mot de passe par défaut.

Car, explique le DoJ, 3 modèles de routeurs Linksys, 3 Mikrotik, 6 Netgear, un TP-Link et au moins deux NAS de fabrication Qnap seraient vulnérables au malware VPNFilter. Lequel est décortiqué par l’équipe de Thalos. Selon les chercheurs, la paternité de cette attaque est probablement signée par le groupe de blackhat Russes FancyBear/APT28, déjà accusés d’avoir trempé dans les attaques durant les dernières élections présidentielles US.

Toujours selon le DoJ, près d’un demi-million d’équipements seraient actuellement infectés (c’est donc encore une « petite » attaque). Ces appareils appartenant en majorité à la catégorie des périphériques grand public, il y a peu de chances que les avertissements et alarmes lancés par la presse spécialisée soient entendus. Les meilleures attaques persistantes ne dépendent pas de la subtilité de leur code, mais du choix de leurs cibles.

Mais tout « grand public » que soient ces boîtiers, VPNFilter les utilise comme plateforme d’analyse du réseau local qui y est attaché, et tente de détecter notamment toute activité Modbus, précise l’Avert Lab de McAfee. Modbus est un bus de commande essentiellement utilisé dans les infrastructures de contrôle de processus, donc des installations industrielles et OIV.

Pour l’heure, les différents OEM cités n’ont pas encore fourni de firmware de remplacement. Le « reboot » des systèmes vulnérables ne fait qu’éliminer la partie résident en mémoire du vecteur de compromission, mais ne garantit pas une éradication totale de l’infection.

En bref …

Posté on 31 Mai 2018 at 8:49

« Faille Git, pensez à mettre à jour votre client Windows » prévient le blog DevOps de Microsoft. > L’annonce de la nouvelle version vient à point après l’alerte CVE 2018-11235 et qui affectait les opérations liées à un git clone.

Publicité

MORE_POSTS

Archives

mai 2018
lun mar mer jeu ven sam dim
« Avr   Juin »
 123456
78910111213
14151617181920
21222324252627
28293031