🔴 LE BLACK FRIDAY EN DIRECT !

TheMoon : certains routeurs Linksys touchés par un mystérieux malware

01 juin 2018 à 15h36
0
Un malware capable de se propager de routeur à routeur touche certains appareils vendus par la marque Linksys. Son objectif reste pour l'heure inconnu.

00FA000004046250-photo-linksys-e4200.jpg
Signalé par les experts en sécurité de l'institut SANS, le malware TheMoon a d'ores et déjà été détecté dans plus de 1 000 routeurs d'entreprises et de particuliers de la marque Linksys. Les modèles potentiellement concernés, en fonction du firmware en place, sont les suivants : E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 et E900.

Les experts en sécurité soulignent néanmoins que la liste des appareils touchés n'est pas définitive, et que l'objectif du virus n'est, à ce jour, pas connu.

Ce que l'on sait de TheMoon

Le nom du malware vient du fait que son code contient des pages HTML et des liens vers des images tirés du film Moon, de Duncan Jones, sorti en 2009. Ce contenu reste cependant anodin par rapport à ce qui intrigue vraiment les experts, à savoir l'objectif du virus.

« Nous ne savons pas, pour le moment, s'il existe un canal de commandes et de contrôles. Mais le ver semble inclure du code pointant vers un canal de ce type » explique Johannes Ullrich de l'institut SANS.

Après avoir infecté le routeur, « le ver se connecte d'abord au port 8080, en utilisant le SSL si nécessaire, pour accéder au panneau d'administration du réseau (URL /HNAP1/). A l'aide d'une liste XML formatée, le ver extrait la version matérielle du routeur et celle du firmware. Ensuite, le ver envoie un exploit sous la forme d'un script CGI qui fonctionne sur les routeurs vulnérables » explique Johannes Ullrich. Ce n'est qu'après qu'intervient le téléchargement du malware proprement dit, d'un poids d'environ 2 Mo, qui va s'activer pour chercher de nouveaux routeurs à contaminer par le biais d'Internet.

Le malware est ainsi capable d'étoffer tout seul la liste des routeurs touchés par la faille, pour les contaminer ensuite. La théorie des experts en sécurité semble plutôt logique : le potentiel de TheMoon se révèlera sans doute quand un nombre plus conséquents de dispositifs aura été touché. « Dans l'immédiat, tout ce qu'il fait, c'est se propager. Il peut y avoir une fonction d'appel qui fera un rapport lorsque de nouveaux hôtes seront infectés » explique l'expert en sécurité au site Threat Post.

La faille utilisée par ce malware est vraisemblablement connue de Belkin - qui possède Linksys - et on peut donc s'attendre à voir un correctif proposé aux utilisateurs face à cette nouvelle menace. En attendant, les experts proposent aux possesseurs d'un routeur potentiellement cibler d'envoyer un ping de type « echo "GET / HNAP1 / HTTP/1.1 \ r \ nHost: test \ r \ n \ r \ n" | nc routerip 8080 » sur leur réseau pour vérifier s'ils sont touchés. « Si vous obtenez un XML HNAP en guise de réponse, alors vous êtes vulnérable » conclut l'expert.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Lian Li PC-A51 : un boîtier moins banal qu'il n'y parait
Les bonnes pratiques du marketing sur Instagram
Sadiques et psychopathes : les trolls du Web au coeur d'une étude
Yahoo! : Marissa Mayer aurait de nouvelles ambitions sur le marché de la recherche
Samsung aurait pu racheter Android en 2005, mais a refusé
Qualcomm abandonne son SoC Snapdragon 802
Selon l’Europe, 41% des Français éteignent leur portable à l’étranger
SFR Red : une destination internationale au choix jusqu'au 27 février
La nouvelle tentative d'accord entre Apple et Samsung soldée par un échec
Haut de page