Une attaque en cours sur les routeurs Linksys
Une étrange attaque touchant certaines gammes de routeurs Linksys a été découverte. Elle les infecte par une faille qui permet de contourner leur authentifications et modifie certains paramètres comme les DNS qui sont alors échangés par ceux de Google, 8.8.8.8 et 8.8.4.4. Une fois installé, le "virus" va commencer à chercher d'autres routeurs vulnérables et tenter de s'y répliquer. Il en découle une forte consommation de bande passante.
Si l'on regarde ce que fait ce cheval de Troie, il ne semble pas réellement virulent. Il ressemble plus à un test en grandeur nature avec le risque de détournement des DNS, ce qui peut devenir très dangereux en vous faisant croire par exemple que vous accédez au site de votre banque ou d'iTunes alors que vous êtes sur une page de phishing.
Il y a pour finir une bonne nouvelle. Pour le moment son code lui permet de s'installer en RAM seulement et pas en dur dans le routeur. Un simple redémarrage suffit à l'effacer... jusqu'à la prochaine infection. Souhaitons maintenant que Linksys mette à jour le firmware des appareils concernés par la faille exploitée et que les propriétaires de ces produits soient au courant et lancent la mise à jour, ce qui sera certainement le plus dur, nombre de possesseurs de routeurs ne sachant même pas à quoi sert leur appareil.