[Mise à jour] Une nouvelle attaque de routeurs est en cours
Plus tôt dans la semaine nous vous parlions d'une faille de sécurité, déjà exploitée, découverte dans des routeurs Netgear.
Il s'avère que les routeurs sont de plus en plus souvent visés par des attaques. Ce sont des équipements clé qui sont à la tête des réseaux, mais oubliés par leurs utilisateurs qui les installent, puis les oublient la plupart du temps quand tout fonctionne normalement. De plus, les antivirus et autres logiciels de détection de connexions anormales ne fonctionnent que sur les ordinateurs et ne voient rien de ce que font ces routeurs.
Ce sont donc, vous l'aurez compris, les maillons faibles les plus intéressants à exploiter.
Ars Technica rapporte qu'une nouvelle attaque très complexe est en cours et vise à compromettre ces pièces maîtresses des réseaux.
L'attaque démarre par du code malveillant caché dans des images qui va utiliser une faille de certains navigateurs pour diriger la machine cible vers une page dédiée qui contient le microcode destiné à prendre le contrôle du routeur.
Ce code est particulièrement complexe. Pour commencer, il va vérifier que la plage IP de l'utilisateur est celle qui intéresse les pirates, ces derniers préférant ne cibler que certaines zones pour ne pas être détectés trop tôt ou parce que leurs cibles privilégiées y résident.
Ensuite, il va vérifier si le routeur fait partie des 166 ayant une faille de sécurité recensée. Si c'est le cas, il passe à l'attaque immédiatement. Dans le cas contraire, il va tenter une attaque en force brute en testant les mots de passe les plus faibles et les plus fréquemment utilisés. S'il arrive à rentrer dans le routeur, il agit.
L'action, ici est simple, changer l'IP du serveur DNS du routeur.
Une fois cette étape réalisée, les pirates peuvent orienter en toute discrétion les utilisateurs vers des sites malveillants sans qu'ils s'en rendent compte, car ils auront rentré une adresse légitime dans leur navigateur. Cela permet potentiellement de récupérer des identifiants et mots de passe de comptes bancaires, PayPal, réseaux sociaux.....
Comme vous l'aurez compris en lisant ces lignes, la montée en puissance des attaques perpétrées sur la toile ces derniers temps est impressionnante. On fait face à des développements de code très complexes, l'exploitation de failles multiples et des câblages de plus en plus pointus.
Nous sommes à vrai dire très pessimistes sur l'avenir dans ce domaine. Les moyens mis en œuvre pour préparer et perpétrer les attaques semblent de plus en plus disproportionnés par rapport à l'énergie déployée pour les prévenir.
[MàJ] Des firmwares corrigeant ce problème sont maintenant disponibles pour la plupart des routeurs touchés: