Construire des botnets à partir de routeurs, modems, points d'accès sans fil et autres terminaux réseaux ne nécessite pas d'exploits très sophistiqués. C'est le cas par exemple de Remaiten, un nouveau ver exploitant les routeurs domestiques sous Linux en tirant partie d'une faiblesse liée aux mots de passe du service de gestion réseau distant Telnet.
Remaiten n'est autre que la dernière incarnation de bots Linux distribués spécialement conçus pour lancer des attaques par déni de service (DDoS). Lorsqu'il scanne des points d'entrée, Remaiten tente de se connecter à des adresses IP aléatoires sur le port 23 (Telnet) et, en cas de connexion fructueuse, il tente de s'authentifier en utilisant une combinaison de nom d'utilisateur et mot de passe en provenance d'une liste d'authentifiants communs, ont indiqué dans un billet de blog les chercheurs de l'éditeur en solutions de sécurité Eset. Ce n'est pas la première fois que les routeurs domestiques sont exposés à du piratage. On se souvient que l'année dernière 700 000 avaient été exposés à cause d'une faille NetUSB et plus récemment, des failles avaient été trouvées dans de nombreux routeurs WiFi Netgear et D-Link.
Scan de ports et fermeture du service Telnet pour se protéger
En cas de succès, le bot exécute plusieurs commandes pour déterminer l'architecture système avant de transférer un petit programme compilé pour permettre de télécharger l'ensemble des commandes de contrôle du botnet. Le ver dispose de versions pour jeux d'instructions mips, mipsel, armeabi et armebeabi. Une fois installé, il se connecte à un canal IRC et attend les commandes d'un pirate distant. Ce bot supporte une variété de commandes pour lancer différentes attaques DDoS et peut même scanner d'autres bots DDoS afin de les désinstaller.
Il est surprenant que de nombreux terminaux réseau utilisent encore Telnet pour la gestion réseau à distance plutôt que le protocole plus sécurisé SSH. Il est encore plus malheureux que de nombreux terminaux soient livrés avec le service Telnet ouvert par défaut. Afin de se protéger, il est recommandé d'utiliser un outil de scan de port en ligne et, dans le cas où le port 23 est ouvert, de fermer le service Telnet depuis la console d'administration web. Une possibilité qui n'est malheureusement pas offerte par tous les fournisseurs d'accès à leurs clients.
Le protocole Telnet est en pratique désactivé par tout administrateur soucieux d'appliquer les bonnes pratiques.
Signaler un abus« Le vers Remaiten » ! Pourquoi un « s » à « ver » ? C'est de poésie, ou d'un virus à propriétés rampantes dont vous voulez parler ?
Signaler un abusMerci de bien vouloir noter qu'un "ver informatique" s'écrit comme le "ver de terre" : pas de "s" à ver
Signaler un abusBonjour.
Signaler un abusCa ne résoud pas le problême de l'acces à certains ports d administration des box et autres routeurs wifi en tous genres. Bien des réseau de FAI sont équipés de dispositifs accessibles depuis n'importe quel poste clients. Partant de la , la compromission d un poste client est la porte ouverte pour rentrer sur le réseau de télécomunication et accèder aux interfaces web ou autres d'administration des dispositifs. Tous les petits équipement avec une interface web d'administration qui ne sont pas mis à jours lors de découvertes de faille sur leur serveur ou les applications web que ces derniers font tourner pour l'administration distante ou locale ou dont le mot de passe usine n'a pas été changé sont des portes ouverte au contrôle total de ces dispositifs et du reste du réseau. Si il est aisé pour un connaisseur de filtrer proprement ces ports d administration et de les protéger du brut forcing ou des attaques par dictionnaire par un logiciel spécifique, pour la plus part des personnes « formées » à la gestion de ces dispositifs ce n est pas toujours le cas. Allez demande à un agent réseau de modifier le système d un de ces dispositifs pour ajouter une ligne de commande de filtrage ou un logiciel de protection du port d administration… Et si vous en trouvez un qui sache le faire je pense qu on l en empêchera de plus haut dans sa hiérarchie.
J'ai passé environe 7 ans à être connecté à internet par un réseaux « haut débit internet » de campagne qui était formé de petits dispositifs routeur wifi et autres en tous genres et tous gabaris. Tous les ports d'administrations des dipositifs étaient accessibles depuis les postes clients Et je ne parle meme pas du reste du réseau qui répondait aussi bien aux trace route qu au port 23 22 80 et tftp... Je ne me connectais pas du fin fond de l'Afrique reculée mais bien de France…
En passant, quant un type de Tombouctou ou d'ailleur parvient à pièger un internaute, si il se pose la question d'ou est situé ce client piègé et qu il cherche s il ne pourrait pas rebondir sur le réseaux et ses dispositifs plus puissants en matière de bande passante internet , les réponses viennent très vite. Un simple trace route peut réveler la poule aux œufs d or par endroit et si les ports d'aministration du réseau ne sont pas protegés du brut force, des attaques par dictionnaires ou des passes usine les équipements tombent tres vite au mains des pirates...
"Le vers Remaiten" -> Le ver Remaiten
Signaler un abusCe sont des stagiaires qui font les articles maintenant ? On ne compte plus les fautes dans tous les articles et même dans les titres.
L'auteur semble ignorer la distinction entre "vers" (en direction de) et "ver" (petit animal cylindrique et souvent annelidé. Ce serait bien qu'il sache de quoi il (nous) parle.
Signaler un abusSi c'est vraiment la sécurité que vous recherchez, alors il vaut mieux installer une vraie distribution GNU/Linux sur une machine à part, juste derrière la box internet, avec tous les services classiques (nom de domaine, DHCP, etc), et utiliser la box du F.A.I. comme un simple modem. Non seulement ça vous évitera de mauvaises surprises un jour, mais cela empêchera également le F.A.I. de venir "renifler" votre réseau chez vous...
Signaler un abus