Acteur de menace inconnue ciblant les routeurs de genévriers avec porte dérobée: rapport

Lucas Morel

Les administrateurs sont invités à rechercher un éventuel compromis.

Les administrateurs de réseaux utilisant des routeurs de Juniper Networks sont invités à rechercher un éventuel compromis après la découverte qu’un acteur de menace inconnu installe une porte dérobée dans les routeurs de clients depuis au moins 2023.

La mauvaise nouvelle: Selon les chercheurs de Black Lotus Labs de Lumen Technology, l’attaquant inconnu peut installer un shell inversé sur le système de fichiers local afin qu’ils puissent contrôler le routeur, voler des données ou déployer plus de logiciels malveillants.

Encore plus de mauvaises nouvelles: dans un commentaire, l’instructeur de l’Institut SANS, Moses Frost, a noté que «Juniper est installé dans de nombreux fournisseurs de services Internet, et donc avoir une porte dérobée sur ces systèmes peut être un problème majeur.»

La bonne nouvelle, au moins jusqu’à présent: les chercheurs ne pensent que 36 routeurs, dont la plupart ont été configurés comme des passerelles VPN, étaient vulnérables lorsqu’il a scanné Internet pour des routeurs de genévriers éventuellement impactés entre mars et septembre 2024.

Quoi qu’il en soit, il a conseillé, patcher ou remplacer votre appareil. « Je suppose que Juniper aurait plus de conseils, selon ce qu’ils ont vu de cette infection », a-t-il déclaré. «Je ferais ensuite pivoter tous les mots de passe, activerais 2FA et éliminerais l’accès à distance via Internet à moins qu’il s’agisse d’un appareil VPN. Les interfaces de gestion ne doivent jamais être exposées à Internet. Envisagez d’obtenir une solution de gestion de la surface d’attaque et de le maintenir. »

« Si vous êtes affecté ou compromis, cela devient un tel défi », a-t-il ajouté. «Premièrement, il réimmasse ou, dans certains cas, le remplacement du matériel, selon la profondeur de l’infection. La plupart du temps, supprimer et remplacer le firmware à partir de zéro est suffisant, mais Juniper peut être plus d’aide. Secondairement, il y a une infection à J-Door sur votre routeur, comment y est-il arrivé? Si vous êtes touché, quelqu’un a exécuté des scripts sur votre appareil », a-t-il déclaré.

«D’après ce à quoi cet article fait allusion, c’est une théorie de Lumen qui semble avoir un sens. Quelqu’un ne peut généralement exécuter des scripts que si vous vous connectez à votre routeur ou si un exploit inconnu existe », a-t-il ajouté. «Je suppose que l’explication la plus simple que quelqu’un s’est connectée est l’hypothèse la plus probable. La fermeture de l’accès aux invites de connexion à partir d’Internet, les mots de passe tournants et l’activation de 2FA font tous partie d’une pratique standard. Si vous ne saviez pas que vous aviez cet appareil dans votre réseau, regardez un outil de gestion de la surface d’attaque. »

Ed Dubrovsky, chef de l’exploitation chez Cypfer, une société de réponse aux incidents, a noté jusqu’à présent qu’il s’agit d’un événement «pas un impact de masse».

Pourtant, il a noté que les acteurs de la menace essaient de plus en plus de compromettre les dispositifs de sécurité car ils gagnent en puissance et contrôlent l’accès aux actifs numériques.

«La majorité des organisations dépendent toujours des notifications ou des alertes des fournisseurs, à la suite de processus standard tels que la gestion du changement pour mettre en œuvre des corrections et cela se traduit par un temps plus long pour résoudre», a-t-il déclaré. «Un alignement plus étroit entre les flux de menaces et la fonction d’administration / opération est conseillé.»

Selon les chercheurs de Lumen, les routeurs vulnérables sont compromis par une variante de la porte dérobée Open Source CD00R, destinée aux appareils exécutant Unix, qui a un agent passif à la recherche d’appareils avec cinq paramètres. Si l’appareil en a au moins l’un, il renvoie un «paquet magique» à l’attaquant. L’attaquant installe ensuite un shell inversé sur le système de fichiers local afin qu’il puisse contrôler le routeur, voler des données ou déployer plus de logiciels malveillants.

Les chercheurs de Lumen appellent cette campagne J-Magic.

Jusqu’à présent, ils ne savent pas comment les routeurs de genévriers sont compromis.

Lumen a exhorté les administrateurs du réseau et les professionnels de l’infosec à suivre ces conseils de l’Institut SANS pour se défendre contre la porte dérobée du CD00R: «Il n’y a pas de signatures fiables pour détecter le CD00R, car il peut être facilement modifié», a noté les directives.

«La meilleure forme de défense est qu’une organisation adopte des pratiques qui empêcheront le compromis du système, telles que la surveillance des vulnérabilités et le déploiement de la détection des intrusions dans leur environnement. De plus, une organisation qui développe une solide capacité de gestion des incidents se positionne pour répondre à une variété de scénarios incidents, y compris les incidents qui impliquent l’utilisation de CD00R », a-t-il déclaré.

Les chercheurs de Lumen ont également exhorté les administrateurs à rechercher dans leur environnement tous les indicateurs de compromis mentionnés dans son rapport, à examiner les journaux du réseau pour les signes d’exfiltration des données et de mouvements latéraux et de rechercher des mécanismes de persistance communs.

« Nous pensons que les routeurs de qualité d’entreprise présentent une cible attrayante car ils n’en ont normalement pas beaucoup, voire aucun, les outils de surveillance basés sur l’hôte », a déclaré le rapport Lumen. «En règle générale, ces appareils sont rarement cyclés de puissance; Les logiciels malveillants adaptés aux routeurs sont conçus pour profiter de la disponibilité longue et en direct exclusivement en mémoire, permettant un accès à faible détection et à long terme par rapport aux logiciels malveillants qui s’enfoncent dans le firmware. Les routeurs au bord du réseau d’entreprise ou servant de passerelle VPN, comme beaucoup l’ont fait dans cette campagne, sont les cibles les plus riches. Ce placement représente un carrefour, ouvrant des voies au reste d’un réseau d’entreprise.

«Notre télémétrie indique que la campagne J-Magic était active de la mi-2023 jusqu’à au moins la mi-2024; Pendant ce temps, nous avons observé des cibles dans le semi-conducteur, l’énergie, la fabrication et les verticales informatiques entre autres », a-t-il noté.

Alors que la majorité des routeurs de genévriers suspectés ont agi comme des passerelles VPN, les chercheurs Lumen ont trouvé un deuxième ensemble d’adresses IP limitées avaient un port NetConf exposé, qui est utilisé pour automatiser les informations et la gestion de configuration du routeur.

Habituellement, les logiciels malveillants orientés vers le routeur sont destinés aux appareils de Cisco Systems exécutant son système d’exploitation iOS, a noté le rapport, en raison de la part de marché de Cisco. « La campagne J-Magic marque les rares occasions de logiciels malveillants conçus spécifiquement pour le système d’exploitation Junos », indique le rapport. Junos OS une variante de FreeBSD, un système d’exploitation de type Unix.

Magic Packet Malware est de plus en plus utilisé contre les appareils de périmètre, a déclaré Lumen. Le premier exemple a été BPFDoor, suivi de Symbiote.