Les utilisateurs de routeurs de tomates sont invités à renforcer les mots de passe, ou ils pourraient être violés par des pirates

Muhstik Botnet Attacks Tomato Routers

Certaines activités cybercriminelles sont à l'échelle. Si vous souhaitez lancer une attaque DDoS remarquable, envoyer de grandes quantités de spam ou générer un portefeuille rempli de bitcoins à l'aide d'une campagne de cryptojacking, par exemple, vous avez besoin de beaucoup de matériel. C'est là que les botnets entrent en jeu.

Un botnet est un réseau de serveurs, d'ordinateurs et d' appareils IoT auxquels les pirates ont accès et contrôlent à l'insu de leurs propriétaires. Les points de terminaison compromis donnent non seulement aux pirates la possibilité de lancer des attaques à grande échelle, mais ils leur fournissent également un moyen de couvrir leurs traces, c'est pourquoi les botnets sont parfois utilisés même dans des campagnes de spywares sophistiquées. Par défaut, un botnet ne peut jamais être assez grand et les escrocs essaient constamment de trouver un moyen d'étendre leurs réseaux d'appareils piratés. Récemment, par exemple, des chercheurs de l'unité 42 de Palo Alto Networks nous ont expliqué comment les opérateurs derrière le botnet Muhstik essayaient d'ajouter de nouveaux bots au réseau.

Le botnet Muhstik s'en prend aux routeurs Wi-Fi exécutés sur le micrologiciel Tomato

Le botnet Muhstik existe depuis mars 2018 et les chercheurs de Palo Alto Networks ont eu plus de quelques rencontres avec lui. Il est connu pour compromettre les serveurs Linux et WebLogic avec les installations WordPress et Drupal, et en mai 2018, il aurait tenté d'exploiter une vulnérabilité de sécurité dans les routeurs domestiques GPON. Le serveur de commande et de contrôle (C&C) contrôle les bots via un canal IRC, et jusqu'à présent, il les utilise principalement pour lancer des attaques DDoS et extraire la crypto-monnaie.

Début décembre, les chercheurs de Palo Alto Networks ont remarqué que les pirates avaient mis à jour le botnet. Il existe maintenant un module supplémentaire conçu pour cibler les routeurs Wi-Fi fonctionnant sur le micrologiciel Tomato.

Tomato est un micrologiciel open source pour les routeurs domestiques qui est censé être plus puissant et plus facile à utiliser que ses concurrents. Lancé pour la première fois en 2006, il est disponible gratuitement pour les fournisseurs et les utilisateurs finaux. Les experts de Palo Alto Networks ont utilisé le moteur de recherche Shodan pour déterminer qu'il existe actuellement environ 4 600 routeurs basés sur Tomato exposés à Internet. Cela ne semble pas être un chiffre particulièrement important, mais les opérateurs de Muhstik ont clairement décidé que l'effort supplémentaire en valait la peine. Mais que pouvons-nous faire pour les arrêter?

Les informations d'identification par défaut rendent les utilisateurs vulnérables

Le rapport de Palo Alto Networks se termine par un avertissement selon lequel "les utilisateurs finaux doivent être prudents lors de l'installation d'un firmware open source". C'est très certainement vrai. Les projets développés par la communauté ne reçoivent pas toujours les mises à jour de sécurité et de fiabilité à temps, et ils peuvent parfois ouvrir d'énormes trous béants que les pirates peuvent facilement exploiter. En effet, la version originale du firmware Tomato n'a pas eu de version stable depuis presque une décennie, ce qui parle de lui-même. Dans ce cas particulier, cependant, la nature open-source de Tomato et son âge ne sont pas les principaux problèmes.

Dès la sortie de la boîte, les utilisateurs accèdent à leurs routeurs Tomato en utilisant "root" ou "admin" comme nom d'utilisateur. Le mot de passe par défaut dans les deux cas est "admin". Ce sont les informations de connexion que le botnet Muhstik utilise pour compromettre tout routeur Tomato qu'il trouve.

Différents fabricants proposent différentes interfaces utilisateur graphiques, il n'y a donc pas de guide pas à pas unique pour changer le mot de passe par défaut sur tous les routeurs basés sur Tomato. Ils offrent tous une facilité pour le faire, cependant, et les opérateurs de Muhstik s'attaquent à des utilisateurs qui n'ont pas pris la peine de l'utiliser. L'histoire nous apprend qu'ils ne tiennent pas exactement les pailles non plus.

Les informations d'identification par défaut sont facilement accessibles, et leur forçage brutal n'implique pas un grand nombre de tentatives de connexion, ce qui signifie que les chances de soulever des soupçons sont faibles. C'est pourquoi les pirates aiment cette méthode particulière pour infecter les appareils des gens.

Les utilisateurs doivent savoir que les gadgets qu'ils se connectent à Internet ne doivent jamais être protégés par les noms d'utilisateur et les mots de passe imprimés sur l'emballage ou le bas de l'appareil. Plus tôt ils le feront, mieux ce sera.

January 24, 2020
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.