La semaine dernière, des chercheurs en sécurité de l'Internet Storm Center du SANS Institute (SysAdmin, Audit, Network, Security), lequel regroupe 165 000 professionnels de la sécurité à travers le monde, ont identifié un programme malveillant auto réplicable exploitant une vulnérabilité dans les routeurs Linksys. Le ver, nommé TheMoon, infecte le routeur en contournant la procédure d'authentification administrateur. Dans son rapport initial, l'Internet Storm Center expliquait que la vulnérabilité était localisée dans un script CGI inscrit dans l'interface d'administration de plusieurs modèles de routeurs E-Series de Linksys. À l'époque, les chercheurs n'avaient pas explicitement donné le nom de ce script vulnérable.

Mais, dimanche dernier, un utilisateur de Reddit dit avoir identifié quatre scripts CGI susceptibles de présenter une vulnérabilité. Plus tard, un auteur d'exploit ayant pour pseudonyme Rew, a confirmé qu'au moins deux de ces scripts étaient vulnérables et a livré dans la foulée un exploit proof-of-concept. « J'espérais que l'information ne serait pas divulguée avant la sortie d'un correctif pour le firmware, mais je crains que la mèche n'ait été vendue », écrit Rew dans les notes accompagnant l'exploit.

Belkin reste encore très discret sur le sujet

Celui-ci a également listé les routeurs Linksys qu'il pense vulnérables d'après les chaînes extraites du malware TheMoon original. On y trouve non seulement des modèles E-Series de Linksys, mais aussi des produits de la gamme Wireless-N. Les routeurs répertoriés sont : E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900, E300, WAG320N, WAP300N, WAP610N, WES610N, WET610N, WRT610N, WRT600N, WRT400N, WRT320N, WRT160N et WRT150N. Mais Rew précise qu'il ne garantit pas l'exactitude de cette liste, et ne garantit pas non plus qu'elle répertorie tous les routeurs potentiellement vulnérables.

Belkin, propriétaire de Linksys, a confirmé que certains routeurs Wireless-N étaient également concernés, sans indiquer leur référence. « Linksys sait que le malware « TheMoon » cible d'anciens routeurs E-Series et d'anciens routeurs et points d'accès Wireless-N », a déclaré dimanche par courrier Karen Sohl, directrice de la communication de Belkin et de Linksys au niveau mondial. « L'exploit qui permet de contourner la procédure d'authentification admin utilisée par le ver ne fonctionne que lorsque la fonction de gestion à distance Remote Management Access est activée. La fonction est désactivée par défaut dans les produits Linksys ». Karen Sohl rappelle que les clients peuvent désactiver cette fonction et redémarrer leurs routeurs pour supprimer les logiciels malveillants, ce qui laisse entendre que le ver disparaît après un redémarrage.

Pas encore de correctif

Linksys a mis sur son site un document technique expliquant comment installer la dernière version du firmware et comment désactiver la gestion à distance sur les appareils concernés. Cette solution n'est pas très pratique pour les administrateurs qui doivent gérer des périphériques déployés dans des endroits éloignés les uns des autres. Mais pour l'instant, il semble que ce soit la seule stratégie d'atténuation officielle proposée par le vendeur. « Linksys devrait livrer un correctif pour le firmware des produits concernés dans les prochaines semaines », a déclaré Karen Sohl.

 

Â