Depuis le 9 avril 2024, les routeurs D-Link DIR-645, vulnérables, sont la cible de nouvelles attaques du botnet Goldoon. Ce malware exploite la faille critique CVE-2015-2051, vieille de dix ans qui permet l'exécution de commandes arbitraires.
Qui se souvient de Mirai, le malware qui avait frappé près de 100 000 NAS de la marque D-Link, sait combien les hackers dénichent la moindre faille dans les systèmes de vos machines.
Cette fois, ce sont les routeurs de la marque taïwanaise qui sont dans le collimateur de Goldoon, ce malware qui va exploiter une vieille faille critique pour transformer vos routeurs D-Link en botnet. Malin, mais terrible.
Les NAS ne sont pas non plus épargnés par Goldoon, qui préfère tout de même s'en prendre à plus faible que lui, les routeurs DIR-645, dont les informations d'identification sont plutôt faibles ou bien profite de l'obsolescence de leur firmware.
CVE- 2015-2051, la faille exploitée et « Dropper », le script déployé par Goldoon pour lancer son attaque
Selon Fortinet, le botnet Goldoon exploite la faille CVE-2015-2051 pour propager un script « dropper » à partir d'un serveur malveillant. Ce script est soigneusement conçu pour s'auto-supprimer et peut fonctionner sur diverses architectures système Linux. Une fois injecté dans un appareil, ce « dropper » télécharge et lance un fichier, ouvrant ainsi la porte à une série d'activités malveillantes. Son rôle principal est de récupérer le fichier du botnet en utilisant une clé XOR pour déchiffrer des chaînes spécifiques et construire l'URI complet pour la charge utile. Une fois téléchargée, la charge utile finale est extraite à l'aide d'un en-tête codé en dur, tandis que des mécanismes de nettoyage sont engagés pour masquer les traces dans le système compromis.
« Bien que CVE-2015-2051 ne soit pas une nouvelle vulnérabilité et présente une faible complexité d'attaque, elle a un impact critique sur la sécurité qui peut conduire à l'exécution de code à distance. Une fois que les attaquants ont réussi à exploiter cette vulnérabilité, ils peuvent intégrer les appareils compromis dans leur botnet pour lancer d'autres attaques », préviennent les chercheurs du laboratoire Fortinet qui a découvert la relance de Goldoon.
Une fois infiltré, le malware Goldoon peut lancer diverses attaques DDoS, notamment l'inondation TCP, l'inondation ICMP, ainsi que des attaques plus ciblées comme Minecraft DDoS. Ces attaques peuvent avoir un impact significatif, perturbant à la fois des cibles individuelles et des réseaux plus étendus.
Comment protéger vos routeurs D-Link et vos données personnelles des attaques de Goldoon
D'après le rapport de Fortinet, Goldoon utilise des attaques par force brute pour pénétrer les dispositifs D-Link.
Une fois infiltré, Goldoon transforme l'appareil infecté en un bot, l'incorporant dans un réseau de machines compromises sous le contrôle de l'opérateur du botnet. Ce réseau peut ensuite être utilisé pour diverses activités malveillantes, notamment le démarrage d'attaques par déni de service distribué (DDoS), le vol de données et la propagation de logiciels malveillants sur le réseau, risquant d'infecter d'autres dispositifs.
Bien entendu, le rapport de Fortinet insiste sur l'importance cruciale de maintenir à jour les correctifs et le micrologiciel sur les appareils D-Link. Les micrologiciels obsolètes comportent souvent des failles que les cybercriminels peuvent exploiter. Pour renforcer la sécurité de leurs routeurs ainsi que des données qui y transitent, activez les mises à jour automatiques du micrologiciel : la plupart des appareils peuvent automatiquement télécharger et installer les dernières mises à jour de sécurité.
N'hésitez pas non plus à modifier les informations d'identification par défaut : remplacez-les par une combinaison robuste et unique de nom d'utilisateur et de mot de passe.
Enfin, comme Clubic vous le recommande souvent, mettez en place des pratiques de sécurité réseau solides : activez les pare-feu, utilisez des mots de passe complexes, et soyez vigilant lors de l'ouverture de liens ou de pièces jointes provenant de sources inconnues.
09 décembre 2024 à 09h35