CERTFR-2016-ALE-009

Vulnerability from certfr_alerte - Published: - Updated:

Le CERT-FR a constaté une importante campagne d'attaque à l'encontre de routeurs DSL. Ces routeurs mis à disposition par les fournisseurs d'accès internet pour leurs clients permettent la connexion à internet. Ils font l'objet d'une attaque d'une variante du ver Mirai visant à en prendre le contrôle et à les incorporer dans un réseau de machine zombie.

Cette vague d'attaque cible une vulnérabilité exploitable via le protocole TR-064 qui permet l'autoconfiguration du LAN (DHCP, SSDP, etc.). Ce service de configuration n'est en théorie accessible que depuis le réseau interne. Le protocole TR-069 est utilisé par les opérateurs pour administrer les routeurs à distance. Les équipements ciblés par cette attaque exposent un seul et même démon pour les protocoles TR-069 et TR-064. Dû à un défaut de cloisonnement réseau chez certains opérateurs, ces services sont accessibles depuis internet sur le port 7547. Cela à pour conséquence d'exposer le protocole TR-064 sur internet. Ce protocole présente une faille de sécurité permettant l'exécution de code à distance. Le code d'exploitation de la vulnérabilité a été publié dans un article de blog le 7 novembre 2016, et a été intégré au cadriciel d'exploitation publique Metasploit.

Une forte augmentation du trafic internet à destination du port 7547 a été observée à partir du 27 novembre et traduit des tentatives d'exploitation de la vulnérabilité.

La première phase de l'attaque consiste en l'envoi d'une requête SOAP émise à destination du port 7547 de l'équipement ciblé. La charge utile déclenche le téléchargement puis l'exécution d'un code malveillant disponible sur un serveur distant contrôlé par l'attaquant.

Le binaire téléchargé est une variante du ver Mirai qui s'attaquera au service d'administration du boitier accessible uniquement en local ou depuis le réseau interne du client. Une des premières opérations réalisées par Mirai consiste à supprimer le binaire du disque, il restera donc uniquement en mémoire et ne dispose d'aucun mécanisme de persistance. Le logiciel malveillant fermera également le port 7547 vulnérable. Il scannera ensuite internet à la recherche d'équipement présentant le port 7547 ouvert pour les infecter. Le déroulement de l'attaque des routeurs ne semble pas s'être déroulé correctement sur les équipements de l'opérateur allemand Deutsche Telekom provoquant une interruption de l'accès à internet de centaines de milliers de clients entre dimanche 27 et lundi 28 novembre 2016.

Solution

Pour les opérateurs, il est recommandé de restreindre l'accès aux interfaces d'administration depuis un réseau dédié, exclusivement accessible par l'opérateur et authentifié.

Enfin, le code malveillant s'exécutant en mémoire, un redémarrage de l'équipement permet d'éliminer le ver. Cependant tant que le ver continue à se propager et que la vulnérabilité n'est pas corrigée par l'opérateur, le routeur sera rapidement réinfecté.

De nombreux routeurs vulnérables ont été victimes de cette attaque. Des systèmes vulnérables ont été rapportés outre en Allemagne, en Irlande, au Royaume-Uni, au Brésil ou encore en Finlande. Cette vulnérabilité dépend du matériel déployé par l'opérateur assurant l'accès à internet et la configuration qu'il a déployée sur celui-ci. L'attaque vise ici des routeurs dont la configuration expose le protocole TR-064 sur Internet au travers du port 7547.

Par ailleurs, plusieurs versions du binaire malveillant sont en circulation. Ces versions sont compilées pour s'exécuter sur différentes architectures (MIPS, ARM, SPARC). Cela montre la volonté des auteurs de cette attaque de toucher un large éventail d'équipements.

Il n'existe pas à ce jour de liste précise de systèmes affectés.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eDe nombreux routeurs vuln\u00e9rables ont \u00e9t\u00e9 victimes de cette  attaque. Des syst\u00e8mes vuln\u00e9rables ont \u00e9t\u00e9 rapport\u00e9s outre en  Allemagne, en Irlande, au Royaume-Uni, au Br\u00e9sil ou encore en  Finlande. Cette vuln\u00e9rabilit\u00e9 d\u00e9pend du mat\u00e9riel d\u00e9ploy\u00e9 par  l\u0027op\u00e9rateur assurant l\u0027acc\u00e8s \u00e0 internet et la configuration qu\u0027il  a d\u00e9ploy\u00e9e sur celui-ci. L\u0027attaque vise ici des routeurs dont la  configuration expose le protocole TR-064 sur Internet au travers  du port 7547.\u003c/P\u003e  \u003cP\u003ePar ailleurs, plusieurs versions du binaire malveillant sont  en circulation. Ces versions sont compil\u00e9es pour s\u0027ex\u00e9cuter sur  diff\u00e9rentes architectures (MIPS, ARM, SPARC). Cela montre la  volont\u00e9 des auteurs de cette attaque de toucher un large \u00e9ventail  d\u0027\u00e9quipements.\u003cBR\u003e  \u003cBR\u003e  Il n\u0027existe pas \u00e0 ce jour de liste pr\u00e9cise de syst\u00e8mes  affect\u00e9s.\u003c/P\u003e",
  "closed_at": "2017-01-26",
  "content": "## Solution\n\nPour les op\u00e9rateurs, il est recommand\u00e9 de restreindre l\u0027acc\u00e8s aux\ninterfaces d\u0027administration depuis un r\u00e9seau d\u00e9di\u00e9, exclusivement\naccessible par l\u0027op\u00e9rateur et authentifi\u00e9.  \n  \nEnfin, le code malveillant s\u0027ex\u00e9cutant en m\u00e9moire, un red\u00e9marrage de\nl\u0027\u00e9quipement permet d\u0027\u00e9liminer le ver. Cependant tant que le ver\ncontinue \u00e0 se propager et que la vuln\u00e9rabilit\u00e9 n\u0027est pas corrig\u00e9e par\nl\u0027op\u00e9rateur, le routeur sera rapidement r\u00e9infect\u00e9.\n",
  "cves": [],
  "links": [
    {
      "title": "Message sur le forum SANS ISC d\u00e9taillant la vuln\u00e9rabilit\u00e9    sur le protocole TR-069",
      "url": "https://isc.sans.edu/forums/diary/TR069+NewNTPServer+Exploits+What+we+know+so+far/21763/1"
    },
    {
      "title": "Communiqu\u00e9 de presse de Deutsche Telekom concernant    l\u0027attaque sur leus \u00e9quipements",
      "url": "https://www.telekom.com/en/media/details/the-open-interface-myth-445290"
    },
    {
      "title": "Article original annon\u00e7ant la vuln\u00e9rabilit\u00e9 sur le    protocole TR-069",
      "url": "https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/"
    },
    {
      "title": "Article de Flashpoint sur les r\u00e9percussions de l\u0027attaque en    Allemagne",
      "url": "https://www.flashpoint-intel.com/new-mirai-variant-involved-latest-deutsche-telekom-outage/"
    },
    {
      "title": "Article de Securelist sur la vuln\u00e9rabilit\u00e9 exploit\u00e9 dans    l\u0027attaque",
      "url": "https://securelist.com/blog/incidents/76791/new-wave-of-mirai-attacking-home-routers/"
    },
    {
      "title": "Article de BadCyber sur la vuln\u00e9rabilit\u00e9 exploit\u00e9 dans    l\u0027attaque",
      "url": "https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/"
    }
  ],
  "reference": "CERTFR-2016-ALE-009",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2016-12-01T00:00:00.000000"
    },
    {
      "description": "correction sur les d\u00e9tails de la campagne.",
      "revision_date": "2016-12-05T00:00:00.000000"
    },
    {
      "description": "cl\u00f4ture de l\u0027alerte.",
      "revision_date": "2017-01-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le CERT-FR a constat\u00e9 une importante campagne d\u0027attaque \u00e0 l\u0027encontre de\nrouteurs DSL. Ces routeurs mis \u00e0 disposition par les fournisseurs\nd\u0027acc\u00e8s internet pour leurs clients permettent la connexion \u00e0 internet.\nIls font l\u0027objet d\u0027une attaque d\u0027une variante du ver Mirai visant \u00e0 en\nprendre le contr\u00f4le et \u00e0 les incorporer dans un r\u00e9seau de machine\nzombie.  \n  \nCette vague d\u0027attaque cible une vuln\u00e9rabilit\u00e9 exploitable \u003cspan\nclass=\"textit\"\u003evia\u003c/span\u003e le protocole TR-064 qui permet\nl\u0027autoconfiguration du LAN (DHCP, SSDP, etc.). Ce service de\nconfiguration n\u0027est en th\u00e9orie accessible que depuis le r\u00e9seau interne.\nLe protocole TR-069 est utilis\u00e9 par les op\u00e9rateurs pour administrer les\nrouteurs \u00e0 distance. Les \u00e9quipements cibl\u00e9s par cette attaque exposent\nun seul et m\u00eame d\u00e9mon pour les protocoles TR-069 et TR-064. D\u00fb \u00e0 un\nd\u00e9faut de cloisonnement r\u00e9seau chez certains op\u00e9rateurs, ces services\nsont accessibles depuis internet sur le port 7547. Cela \u00e0 pour\ncons\u00e9quence d\u0027exposer le protocole TR-064 sur internet. Ce protocole\npr\u00e9sente une faille de s\u00e9curit\u00e9 permettant l\u0027ex\u00e9cution de code \u00e0\ndistance. Le code d\u0027exploitation de la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 publi\u00e9 dans\nun article de blog le 7 novembre 2016, et a \u00e9t\u00e9 int\u00e9gr\u00e9 au cadriciel\nd\u0027exploitation publique Metasploit.  \n  \nUne forte augmentation du trafic internet \u00e0 destination du port 7547 a\n\u00e9t\u00e9 observ\u00e9e \u00e0 partir du 27 novembre et traduit des tentatives\nd\u0027exploitation de la vuln\u00e9rabilit\u00e9.\n\nLa premi\u00e8re phase de l\u0027attaque consiste en l\u0027envoi d\u0027une requ\u00eate SOAP\n\u00e9mise \u00e0 destination du port 7547 de l\u0027\u00e9quipement cibl\u00e9. La charge utile\nd\u00e9clenche le t\u00e9l\u00e9chargement puis l\u0027ex\u00e9cution d\u0027un code malveillant\ndisponible sur un serveur distant contr\u00f4l\u00e9 par l\u0027attaquant.  \n  \nLe binaire t\u00e9l\u00e9charg\u00e9 est une variante du ver Mirai qui s\u0027attaquera au\nservice d\u0027administration du boitier accessible uniquement en local ou\ndepuis le r\u00e9seau interne du client. Une des premi\u00e8res op\u00e9rations\nr\u00e9alis\u00e9es par Mirai consiste \u00e0 supprimer le binaire du disque, il\nrestera donc uniquement en m\u00e9moire et ne dispose d\u0027aucun m\u00e9canisme de\npersistance. Le logiciel malveillant fermera \u00e9galement le port 7547\nvuln\u00e9rable. Il scannera ensuite internet \u00e0 la recherche d\u0027\u00e9quipement\npr\u00e9sentant le port 7547 ouvert pour les infecter. Le d\u00e9roulement de\nl\u0027attaque des routeurs ne semble pas s\u0027\u00eatre d\u00e9roul\u00e9 correctement sur les\n\u00e9quipements de l\u0027op\u00e9rateur allemand Deutsche Telekom provoquant une\ninterruption de l\u0027acc\u00e8s \u00e0 internet de centaines de milliers de clients\nentre dimanche 27 et lundi 28 novembre 2016.\n",
  "title": "Campagne d\u0027attaque contre des routeurs DSL",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.