TheMoon : certains routeurs Linksys touchés par un mystérieux malware

Un malware capable de se propager de routeur à routeur touche certains appareils vendus par la marque Linksys. Son objectif reste pour l'heure inconnu.

Signalé par les experts en sécurité de l'institut SANS, le malware TheMoon a d'ores et déjà été détecté dans plus de 1 000 routeurs d'entreprises et de particuliers de la marque Linksys. Les modèles potentiellement concernés, en fonction du firmware en place, sont les suivants : E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 et E900.

Les experts en sécurité soulignent néanmoins que la liste des appareils touchés n'est pas définitive, et que l'objectif du virus n'est, à ce jour, pas connu.

Ce que l'on sait de TheMoon

Le nom du malware vient du fait que son code contient des pages HTML et des liens vers des images tirés du film Moon, de Duncan Jones, sorti en 2009. Ce contenu reste cependant anodin par rapport à ce qui intrigue vraiment les experts, à savoir l'objectif du virus.

« Nous ne savons pas, pour le moment, s'il existe un canal de commandes et de contrôles. Mais le ver semble inclure du code pointant vers un canal de ce type » explique Johannes Ullrich de l'institut SANS.

Après avoir infecté le routeur, « le ver se connecte d'abord au port 8080, en utilisant le SSL si nécessaire, pour accéder au panneau d'administration du réseau (URL /HNAP1/). A l'aide d'une liste XML formatée, le ver extrait la version matérielle du routeur et celle du firmware. Ensuite, le ver envoie un exploit sous la forme d'un script CGI qui fonctionne sur les routeurs vulnérables » explique Johannes Ullrich. Ce n'est qu'après qu'intervient le téléchargement du malware proprement dit, d'un poids d'environ 2 Mo, qui va s'activer pour chercher de nouveaux routeurs à contaminer par le biais d'Internet.

Le malware est ainsi capable d'étoffer tout seul la liste des routeurs touchés par la faille, pour les contaminer ensuite. La théorie des experts en sécurité semble plutôt logique : le potentiel de TheMoon se révèlera sans doute quand un nombre plus conséquents de dispositifs aura été touché. « Dans l'immédiat, tout ce qu'il fait, c'est se propager. Il peut y avoir une fonction d'appel qui fera un rapport lorsque de nouveaux hôtes seront infectés » explique l'expert en sécurité au site Threat Post.

La faille utilisée par ce malware est vraisemblablement connue de Belkin - qui possède Linksys - et on peut donc s'attendre à voir un correctif proposé aux utilisateurs face à cette nouvelle menace. En attendant, les experts proposent aux possesseurs d'un routeur potentiellement cibler d'envoyer un ping de type « echo "GET / HNAP1 / HTTP/1.1 \ r \ nHost: test \ r \ n \ r \ n" | nc routerip 8080 » sur leur réseau pour vérifier s'ils sont touchés. « Si vous obtenez un XML HNAP en guise de réponse, alors vous êtes vulnérable » conclut l'expert.