WLAN-Router

Le FBI prévient que les dispositifs de fin de vie sont activement ciblés par des acteurs de la menace

Lucas Morel

Les cybercriminels installent des logiciels malveillants sur des appareils compromis, créent un botnet et vendent des services proxy ou lancent des attaques coordonnées.

Le FBI avertit que les cybercriminels exploitent des routeurs de fin de vie (EOL) qui ne sont plus corrigés par les fabricants.

Plus précisément, les réseaux criminels «5Socks» et «AnyProxy» utilisent des exploits accessibles au public et injectent des logiciels malveillants persistants pour accéder aux routeurs obsolètes de Linksys, Cisco et Cradlepoint. Une fois compromis, les appareils sont ajoutés aux botnets de proxy résidentiels qui obscurcissent les origines des attaquants afin qu’ils puissent s’engager dans une activité malveillante ou lancer des campagnes de ransomwares.

L’agence conseille que ces anciens appareils soient immédiatement remplacés, ou à tout le moins redémarré et l’administration à distance désactivée.

« Si une entreprise utilise l’un de ces routeurs, ils se préparent à des attaques contre leur infrastructure », a déclaré David Shipley de Beauceron Security. « Très probablement, ce seront les petites entreprises sans pare-feu, ce qui pourrait conduire à des choses comme les attaques de ransomwares. »

Les pirates peuvent obscurcir leur emplacement, obtenir un accès administratif

Le conseiller flash du FBI, publié pour diffuser rapidement des informations sur les problèmes critiques de cybersécurité aux équipes de sécurité et aux administrateurs système, appelle explicitement 13 liensys, Cradlepoint et les modèles Cisco étant couramment détournés. Ceux-ci incluent:

  • Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550, WRT320N, WRT310N, WRT610N
  • Cradlepoint E100
  • Cisco M10

Les acteurs des menaces, notamment les acteurs chinois parrainés par l’État, exploitent avec succès les vulnérabilités connues dans les routeurs exposés au Web via un logiciel de gestion à distance préinstallé, selon le FBI. Ils installent ensuite des logiciels malveillants, configurent un botnet et vendent des services proxy ou lancent des attaques coordonnées.

«Les procurations peuvent être utilisées par les acteurs de la menace pour obscurcir leur identité ou leur emplacement», prévient l’agence. Essentiellement, le trafic dangereux semble provenir de réseaux domestiques innocents au lieu de l’emplacement de l’attaquant.

Les acteurs de la menace scannent Internet pour trouver des routeurs exposés, puis contournent les méthodes d’authentification (y compris les mots de passe) pour obtenir un accès administratif et apporter des modifications à la configuration. Grâce à un accès persistant, ils communiquent régulièrement avec l’appareil (toutes les 1 à 5 minutes) pour s’assurer qu’il est toujours compromis et peut continuer à être exploité. Le malware envoie des informations via un serveur de commande et de contrôle (C2) qui a une «poignée de main bidirectionnelle» avec le routeur, explique le FBI.

Les routeurs EOL sont violés avec des variantes de Theoon malware botnet, qui a été découverte pour la première fois en 2014 et contourne la sécurité, probablement en tirant parti des vulnérabilités connues, pour infecter les routeurs.

«Ces appareils peuvent être utilisés pour la reconnaissance, en faisant des choses comme les analyses de réseau ou dans le cadre d’un réseau TOR privé pour se cacher des activités des outils de sécurité ou cacher des acteurs de menace dans les enquêtes post-incident», a expliqué Shipley.

Difficile à détecter

Souvent, il peut être difficile pour les utilisateurs finaux de savoir si leur appareil est compromis car les outils antivirus ne peuvent pas les scanner. Le FBI a fourni une liste de fichiers associés aux campagnes d’exploitation pour aider à déterminer la vulnérabilité.

«Les utilisateurs ne savent souvent pas que leurs routeurs sont obsolètes et vulnérables», a déclaré Johannes Ullrich, doyen de Research for Technology Institute. De plus, a-t-il noté, il n’y a aucune indication claire dans la plupart des cas en disant aux utilisateurs qu’un routeur perdra bientôt le soutien.

« À moins que les utilisateurs ne vérifient régulièrement auprès du vendeur, ils peuvent ne pas se rendre compte que le routeur ne reçoit plus de mises à jour », a déclaré Ullrich.

Le FBI affirme que les indicateurs de compromis peuvent inclure des problèmes de connectivité ou de performances (tels que des accidents fréquents), un trafic réseau inhabituel, des configurations modifiées et l’apparition de nouveaux comptes d’administration (voyous).

En fin de compte, si possible, «ces appareils doivent être remplacés par de nouveaux modèles qui restent dans leurs plans de soutien au fournisseur pour prévenir une infection supplémentaire», conseille l’agence.

Si le remplacement immédiat n’est pas possible, les utilisateurs doivent désactiver l’administration à distance, modifier toutes les informations d’identification (en utilisant des mots de passe forts «uniques et aléatoires» et contenir au moins 16 mais pas plus de 64 caractères), installer le dernier firmware et redémarrer l’appareil pour effacer tout logiciel malveillant en mémoire.

Les appareils EOL sont des cibles faciles

Les dispositifs de réseau EOL sont de plus en plus exploités par les cybercriminels. L’unité de renseignement des menaces de Cisco Systems a constaté qu’en 2024, deux des trois principales vulnérabilités de menace que les acteurs ont tenté d’exploiter se trouvaient dans les dispositifs EOL ne recevant plus de correctifs.

Il s’agit notamment des périphériques de stockage connectés à partir de D-Link (CVE-2024-3273 et CVE-2024-3272) et de vérifier les passerelles de sécurité quantique du logiciel (CVE-2024-24919). Les trois CVE ont représenté plus de la moitié des vulnérabilités des périphériques réseau en 2024.

Le FBI souligne que les routeurs datés de 2010 ou antérieurs ne reçoivent probablement plus de mises à jour logicielles du fabricant et pourraient être facilement compromises par le biais de vulnérabilités connues.

« La` `fin de vie  » des routeurs et du matériel similaire est un énorme problème », a déclaré Ullrich, notant que les capteurs de pot de miel de l’Institut Sans Institut voient quelques centaines d’attaques chaque jour juste pour une seule vulnérabilité de netgear. «Cette vulnérabilité a environ 10 ans, mais toujours fortement sondé.»

Pour atténuer les problèmes de vulnérabilité, il recommande un rappel de calendrier mensuel simple pour vérifier s’il y a des mises à jour pour les appareils, y compris les routeurs de réseau, les pare-feu ou l’équipement connexe. Lors de l’achat de nouveaux équipements, les utilisateurs doivent également tenter d’identifier sa date EOL et de l’écrire directement sur l’appareil.

« Les appareils de fin de vie doivent être remplacés par des appareils plus récents et soutenus dès que pratique », a-t-il souligné.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission