Une variante du botnet Mirai exploite une faille du routeur Four-Faith pour déclencher des attaques DDoS

Dans un rappel brutal des dangers croissants posés par les botnets, une nouvelle variante de Mirai exploite les vulnérabilités des routeurs industriels Four-Faith depuis début novembre 2024. Ce dernier botnet, surnommé « gayfemboy » (un terme dérivé de ses références offensantes au code source), met en évidence la menace persistante des attaques par déni de service distribué (DDoS) et souligne la nécessité de défenses robustes en matière de cybersécurité.

Avec 15 000 adresses IP actives par jour réparties dans des régions telles que la Chine, l'Iran, la Russie, la Turquie et les États-Unis, ce botnet a atteint des proportions dévastatrices. Sa capacité à exploiter à la fois les vulnérabilités zero-day et une longue liste de plus de 20 failles de sécurité connues est un signal d'alarme pour les entreprises comme pour les utilisateurs individuels.

La vulnérabilité exploitée : CVE-2024-12856

Au cœur de la récente campagne du botnet se trouve la faille CVE-2024-12856, une vulnérabilité d'injection de commande affectant les modèles de routeurs Four-Faith F3x24 et F3x36. Cette faille, qui a un score CVSS de 7,2, permet aux attaquants d'exploiter des routeurs configurés avec des identifiants par défaut inchangés.

Depuis sa découverte en novembre 2024, cette vulnérabilité a été activement exploitée pour diffuser des charges utiles malveillantes, notamment des shells inversés et une variante de malware basée sur Mirai. En ciblant les routeurs de qualité industrielle, les attaquants peuvent exploiter des appareils hautement connectés , amplifiant ainsi la portée et l'efficacité de leur botnet.

Une stratégie d’attaque à plusieurs volets

La variante Mirai utilise une combinaison de tactiques pour infecter les appareils et maximiser son impact :

  1. Accès initial via des informations d'identification faibles
    Le botnet recherche les appareils dotés d'informations d'identification Telnet faibles ou de paramètres d'usine par défaut, une erreur de sécurité courante dans de nombreux systèmes IoT et industriels.
  2. Exploiter une longue liste de vulnérabilités
    Au-delà de CVE-2024-12856, le botnet exploite plus de 20 vulnérabilités supplémentaires, dont des failles remontant à 2013, telles que :
    • CVE-2013-3307
    • CVE-2016-20016
    • CVE-2021-35394
  3. Fonctionnalités des logiciels malveillants basés sur Mirai
    Une fois déployé, le malware adopte des techniques pour :
    • Masquer les processus malveillants.
    • Exécutez des commandes pour localiser les nouveaux appareils vulnérables.
    • Mettre à jour en permanence sa charge utile de logiciels malveillants.
    • Lancez des attaques DDoS ciblées.

L’ampleur et l’impact des attaques

Le botnet a orchestré des attaques DDoS quotidiennes sur des centaines de cibles, atteignant des pics de bande passante de 100 Gbps. Bien que ces attaques ne durent souvent que 10 à 30 secondes, l'afflux soudain de trafic peut submerger les serveurs, perturber les services et infliger des dégâts considérables.

Notamment, les mois d'octobre et de novembre 2024 ont connu une augmentation de l'activité des botnets, les logiciels malveillants recherchant et compromettant de manière agressive les appareils.

La menace plus large des botnets

Cette dernière variante de Mirai s'inscrit dans une tendance plus large de cybercriminels exploitant les vulnérabilités des appareils IoT et industriels pour créer des botnets . Des campagnes similaires incluent :

  • Avertissement Juniper Networks : des acteurs malveillants ciblant les produits Session Smart Router (SSR) avec des mots de passe par défaut pour propager le malware Mirai.
  • Rapport Akamai : les infections Mirai exploitent les failles d'exécution de code à distance dans les DVR DigiEver.

Ces incidents reflètent une réalité troublante : tant que les appareils restent mal configurés ou non corrigés, les attaquants continueront de les exploiter pour développer leurs armées de botnets.

Comment se protéger contre les botnets Mirai et les attaques DDoS

Compte tenu de la menace persistante et évolutive des botnets basés sur Mirai, il est essentiel que les organisations et les utilisateurs adoptent des mesures de sécurité complètes :

  1. Modifier les informations d'identification par défaut
    Remplacez les mots de passe par défaut sur tous les appareils par des informations d’identification fortes et uniques.
  2. Corrigez et mettez à jour régulièrement les appareils
    Maintenez le micrologiciel et le logiciel du routeur à jour pour atténuer les vulnérabilités connues telles que CVE-2024-12856.
  3. Mettre en œuvre la segmentation du réseau
    Isolez les appareils IoT et industriels des réseaux critiques pour limiter les mouvements latéraux.
  4. Surveiller le trafic inhabituel
    Utilisez des systèmes de détection d’intrusion (IDS) et des outils de surveillance basés sur les anomalies pour détecter les modèles de trafic inhabituels indiquant une activité DDoS.
  5. Déployer des solutions anti-DDoS
    La protection DDoS basée sur le cloud peut absorber et atténuer les attaques à large bande passante avant qu'elles n'atteignent votre réseau.
  6. Limiter Telnet et l'accès à distance
    Désactivez l’accès Telnet et limitez les interfaces de gestion à distance aux adresses IP approuvées uniquement.

Les menaces DDoS évoluent

La dernière variante du botnet Mirai est bien plus qu'une simple souche de malware : c'est un signe avant-coureur de la sophistication croissante des menaces DDoS. En exploitant les vulnérabilités des routeurs industriels et des appareils IoT, les attaquants créent des botnets dotés d'une portée et d'un potentiel destructeur accrus.

Pour garder une longueur d’avance sur ces menaces, les entreprises et les particuliers doivent rester vigilants, sécuriser leurs appareils et adopter des pratiques proactives en matière de cybersécurité. Comme le montre cette campagne, même des vulnérabilités apparemment mineures peuvent avoir un impact considérable si elles ne sont pas traitées.

Par Zane
January 10, 2025
Computer Security
Français
January 10, 2025
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.