TheMoon : certains routeurs Linksys touchés par un mystérieux malware

17 février 2014 à 15h07
0
Un malware capable de se propager de routeur à routeur touche certains appareils vendus par la marque Linksys. Son objectif reste pour l'heure inconnu.

00FA000004046250-photo-linksys-e4200.jpg
Signalé par les experts en sécurité de l'institut SANS, le malware TheMoon a d'ores et déjà été détecté dans plus de 1 000 routeurs d'entreprises et de particuliers de la marque Linksys. Les modèles potentiellement concernés, en fonction du firmware en place, sont les suivants : E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 et E900.

Les experts en sécurité soulignent néanmoins que la liste des appareils touchés n'est pas définitive, et que l'objectif du virus n'est, à ce jour, pas connu.

Ce que l'on sait de TheMoon

Le nom du malware vient du fait que son code contient des pages HTML et des liens vers des images tirés du film Moon, de Duncan Jones, sorti en 2009. Ce contenu reste cependant anodin par rapport à ce qui intrigue vraiment les experts, à savoir l'objectif du virus.

« Nous ne savons pas, pour le moment, s'il existe un canal de commandes et de contrôles. Mais le ver semble inclure du code pointant vers un canal de ce type » explique Johannes Ullrich de l'institut SANS.

Après avoir infecté le routeur, « le ver se connecte d'abord au port 8080, en utilisant le SSL si nécessaire, pour accéder au panneau d'administration du réseau (URL /HNAP1/). A l'aide d'une liste XML formatée, le ver extrait la version matérielle du routeur et celle du firmware. Ensuite, le ver envoie un exploit sous la forme d'un script CGI qui fonctionne sur les routeurs vulnérables » explique Johannes Ullrich. Ce n'est qu'après qu'intervient le téléchargement du malware proprement dit, d'un poids d'environ 2 Mo, qui va s'activer pour chercher de nouveaux routeurs à contaminer par le biais d'Internet.

Le malware est ainsi capable d'étoffer tout seul la liste des routeurs touchés par la faille, pour les contaminer ensuite. La théorie des experts en sécurité semble plutôt logique : le potentiel de TheMoon se révèlera sans doute quand un nombre plus conséquents de dispositifs aura été touché. « Dans l'immédiat, tout ce qu'il fait, c'est se propager. Il peut y avoir une fonction d'appel qui fera un rapport lorsque de nouveaux hôtes seront infectés » explique l'expert en sécurité au site Threat Post.

La faille utilisée par ce malware est vraisemblablement connue de Belkin - qui possède Linksys - et on peut donc s'attendre à voir un correctif proposé aux utilisateurs face à cette nouvelle menace. En attendant, les experts proposent aux possesseurs d'un routeur potentiellement cibler d'envoyer un ping de type « echo "GET / HNAP1 / HTTP/1.1 \ r \ nHost: test \ r \ n \ r \ n" | nc routerip 8080 » sur leur réseau pour vérifier s'ils sont touchés. « Si vous obtenez un XML HNAP en guise de réponse, alors vous êtes vulnérable » conclut l'expert.

Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

NVIDIA en discussion avancée pour le rachat d'ARM pour au moins 32 milliards
Renault annonce une perte record de près de 7,3 milliards d'euros
Elon Musk veut fournir des logiciels, des batteries et des moteurs à d'autres constructeurs
Pour Windows Defender, CCleaner est une app indésirable
La première station de recharge à hydrogène ferroviaire annoncée en Allemagne
L'électricité produite en Europe au premier semestre provenait majoritairement d'énergies renouvelables
Rocambole : l'application est enfin de retour sur le Google Play Store !
Vignette Crit'air : vers un durcissement des conditions d'obtention
L'évasion Carlos Ghosn financée en Bitcoins
Windows : le bug de recherche dans l'Explorateur bientôt réglé... Huit mois après
scroll top