La tempête Mirai s’abat sur les FAI européens : aux abris les routeurs
Des variantes du botnet Mirai conçues pour infiltrer les routeurs domestiques font des victimes chez les FAI européens. Notamment au Royaume-Uni.
Au fil des semaines, on mesure mieux les conséquences de la publication, fin septembre sur un forum de hacking, du code source de Mirai.
Mis en lumière pour son rôle dans des attaques subies tour à tour par l’hébergeur OVH et le gestionnaire d’infrastructures DNS Dyn, le botnet* fait aussi – sous des formes évoluées – des victimes chez les fournisseurs d’accès à Internet.
Deutsche Telekom en a payé le prix la semaine passée, avec des perturbations chez 900 000 clients, soit environ 4,5 % de sa base d’abonnés sur les offres fixes.
L’incident était lié au dysfonctionnement de plusieurs modèles de routeurs domestiques commercialisés sous la marque Speedport et derrière lesquels on retrouve le fabricant taïwanais Arcadyan, né d’une coentreprise entre Accton et Philips.
Le groupe télécoms allemand n’évoque pas directement Mirai, mais laisse largement sous-entendre que le botnet (ou plutôt une variante) est bien responsable des dégâts. Dans l’absolu, il aurait échoué à atteindre son objectif ; en l’occurrence, installer un malware sur les routeurs pour en prendre le contrôle. Mais il aurait, dans l’affaire, désactivé des fonctions clés comme le proxy DNS…
Mirai file à l’anglaise
Plusieurs FAI britanniques ont eu des soucis similaires ces derniers jours. Parmi eux, KCOM, présent dans la région de Hull, et qui a créé, pour l’occasion, une rubrique dédiée sur son aide en ligne. Dans les grandes lignes, un « nombre important » de clients ont été touchés à partir du samedi 26 novembre. La situation est rentrée dans l’ordre depuis lors, mais environ un millier d’abonnés auront « besoin d’une assistance additionnelle ».
Les routeurs concernés sont d’un autre fabricant, taïwanais lui aussi : ZyXEL. Il s’agit plus précisément du modèle AMG1302-T10B.
Post Office pointe également du doigt les équipements ZyXEL. L’entreprise publique britannique évoque « 100 000 clients affectés » à partir du dimanche 27 novembre, tout en assurant qu’un correctif est en cours de déploiement.
TalkTalk est dans une situation comparable, mais sa liste de routeurs touchés comprend aussi le DSL-3780 de D-Link, comme le relate le Register.
Code 7547
En croisant les témoignages de ces différent FAI, on constate que Mirai a été adapté pour exploiter une faille située au niveau de l’administration à distance.
Pour permettre l’installation de mises à jour du firmware, les fournisseurs d’accès implémentent généralement le protocole TR-069 défini par le Broadband Forum.
Le port TCP 7547, ouvert en conséquence, est aussi exploité, en parallèle, par un serveur TR-064, destiné à permettre l’administration du routeur depuis le logiciel qui l’accompagne.
Problème : TR-064 présente non seulement une vulnérabilité permettant l’accès en WAN sans authentification, mais aussi une faiblesse exposant la fonctionnalité de de paramétrage du serveur de temps (SetNTP) à l’injection de code – confer cette démonstration sur les routeurs du FAI irlandais Eir, dont environ 130 000 clients ont été touchés.
Bébés à bord
Une recherche sur le moteur Shodan, qui parcourt le Net à la recherche d’objets connectés, retourne environ 5 millions de routeurs dont le port 7547 est grand ouvert.
Du côté de ZyXEL, on affirme que le souci se trouve au niveau de deux composants Ralink et MediaTek (RT63365 et MT7505) fournis par Econet. Les équipes de Malwarebytes déclarent quant à elles qu’un redémarrage des routeurs suffit à neutraliser Mirai, mais que la mise à jour des routeurs est une paire de manches, le botnet prenant le soin de désactiver, si possible, l’administration distante.
* Mirai est conçu pour prendre le contrôle d’objets connectés faiblement sécurisés allant jusqu’à des produits anodins tels que les babyphones (écoute-bébés). Il recherche ces appareils et tente une attaque par force brute en testant une soixantaine de combinaisons login/mot de passe.