Ces dernières années, les entreprises ont ajouté des dispositifs IoT à leurs réseaux, ce qui a souvent accru leur exposition sur Internet. Dans le même temps, les réseaux de zombies spécialisés dans l'exploitation de configurations et de vulnérabilités non sécurisées se sont développés pour prendre le contrôle d'appliances de stockage, de caméras de surveillance, de systèmes d'enregistrements vidéo et, plus récemment, de systèmes de vidéoconférence connectés aux réseaux d'entreprise. Au mois août dernier, des chercheurs de la startup de sécurité WootCloud ont découvert un botnet surnommé OMNI qui infectait les systèmes de visioconférence professionnels fabriqués par Polycom, désormais dans le giron de Plantronics. Depuis, WootCloud a repéré trois botnets supplémentaires ciblant le même type de systèmes, en plus d'autres dispositifs embarqués tournant sous Linux. Les trois nouveaux botnets dénommés Bushido, Hades et Yowai ciblent les terminaux de la série Polycom HDX. Ils sont basés sur le botnet Mirai dont le code source a été divulgué en 2016.
Mirai a infecté avec succès des centaines de milliers d'appareils IoT et a été utilisé pour lancer les attaques par déni de service distribué (DDoS) les plus spectaculaires de l'histoire. La propagation, semblable à celle d'un ver, a eu lieu essentiellement via les connexions Telnet en profitant du fait que de nombreux utilisateurs ne modifient pas les informations d'identification par défaut sur leurs périphériques intelligents. Le botnet Mirai original n'est plus actif, mais son code source a servi de base pour 13 autres botnets au moins, chacun d'eux ajoutant des améliorations et des méthodes d'infection supplémentaires. Bushido, Hadès et Yowai se sont également répandus via Telnet en utilisant des techniques de force brute pour s'introduire dans les terminaux de la série Polycom HDX et d'autres appareils. Cependant, les chercheurs de WootCloud n'excluent pas que les pirates aient pu aussi exploiter des vulnérabilités dans le firmware ou dans les interfaces d'administration.
Des mesures pour contrer la menace
Dans un avis publié hier, Polycom a informé ses clients que les terminaux Polycom HDX « exécutant des versions logicielles antérieures à 3.1.13 contiennent des failles de sécurité déjà répertoriées sur le Polycom Security Center », en précisant que « ces failles de sécurité peuvent rendre les terminaux HDX vulnérables à une prise de contrôle par un botnet ». En janvier, la société a également publié un avis afin d'alerter les clients de « cybermenaces persistantes » ciblant les dispositifs de communications unifiées déployés de manière non sécurisée ou pour lesquels les mots de passe ou les codes PIN par défaut n'ont pas été modifiés. Le fournisseur recommande aux utilisateurs de suivre ses meilleures pratiques en matière de sécurité pour le déploiement de ce type de dispositifs et de les protéger de l'Internet par un pare-feu.
Comme beaucoup d'autres appareils embarqués, les systèmes Polycom HDX utilisent une variante de Linux avec la boîte à outils BusyBox installée. Ce paquet contient des versions allégées des utilitaires Linux les plus courants, ce qui permet aux attaquants d'effectuer de nombreuses actions malveillantes sans avoir à télécharger et à exécuter des binaires compilées pour une architecture embarquée CPU spécifique de type ARM ou MIPS. « La présence de ces binaires sur l'appareil lui-même permet à un attaquant de lancer des opérations en toute discrétion sans avoir à télécharger d'autres binaires depuis le serveur de commande et de contrôle », ont déclaré les chercheurs de WootCloud dans un rapport transmis à nos confrères de CSO. « En particulier, ces trois botnets profitent largement de la BusyBox, de Wget et d'autres binaires similaires pour effectuer diverses opérations ».
Les périphériques Polycom compromis sont utilisés pour rechercher et pirater d'autres systèmes via Telnet avec des identifiants par défaut ou faibles, et pour lancer des attaques DDoS, la plupart de ces botnets étant exploités pour vendre des services DDoS sur les marchés underground du web. La startup de sécurité WootCloud a également constaté que certains dispositifs compromis étaient utilisés comme proxy pour acheminer et cacher les communications malveillantes avec les serveurs de commande et de contrôle.
Un seul appareil compromet tout le réseau
Lors d'une interview téléphonique, les chercheurs de WootCloud ont déclaré que des milliers d'appareils Polycom HDX étaient exposés à Internet, et qu'un nombre encore plus important était déployé dans les réseaux d'entreprise. Il suffit qu'un seul système exposé et mal configuré soit compromis pour que l'infection se propage en interne. Comme l'ont constaté les chercheurs, dans certains déploiements Polycom HDX en entreprise, les terminaux de visioconférence de différents départements sont reliés entre eux. Cela signifie qu'une infection peut également se propager à des succursales éloignées n'importe où dans le monde. Les périphériques intelligents connectés déployés par les entreprises sur leurs réseaux ont une puissance de calcul suffisante pour attirer les pirates informatiques. De plus, ils tournent généralement avec des logiciels open source, de sorte qu'il n'est pas nécessaire d'avoir des connaissances spécialisées pour en prendre le contrôle. Les attaquants cherchent donc en permanence à exploiter les vulnérabilités ou les erreurs de configuration qu'ils peuvent trouver dans ces dispositifs et, malheureusement, de nombreuses entreprises n'ont pas la visibilité nécessaire pour découvrir ces intrusions.
Un dispositif IoT compromis sur un réseau d'entreprise peut facilement servir de point de propagation initial et de rampe de lancement pour mener des attaques contre d'autres systèmes internes, aussi bien des serveurs que des postes de travail traitant des données sensibles. Selon les chercheurs de WootCloud, les attaquants pourraient même, s'ils le voulaient, espionner les conversations passées par les appareils de visioconférence de Polycom. « Souvent, les petites et moyennes entreprises n'ont pas les compétences nécessaires pour configurer des dispositifs intelligents connectés », ont déclaré les chercheurs de WootCloud. « Ils s'intéressent à la fonction principale, la vidéoconférence dans le cas présent, mais ne comprennent pas les autres risques ou les modes d'infection potentielle. Il est essentiel de livrer cette information aux utilisateurs et de leur fournir les outils et les solutions qui leur permettront d'avoir plus de visibilité sur le fonctionnement de ces appareils quand ils sont connectés à leurs réseaux », ont ajouté les chercheurs.