CVE-2021-20090 : Là où les buffles se font posséder

Résumé

Le 3 août, Tenable Security a révélé une vulnérabilité dans une gamme de routeurs résidentiels de Buffalo Technologies utilisant un micrologiciel développé par Arcadyan. Trois jours plus tard, les chercheurs ont confirmé que des attaquants exploitaient activement les appareils vulnérables pour tenter de déployer des logiciels malveillants.

Analyse

Au 12 août, Censys a identifié 4 378 dispositifs correspondant à l'empreinte digitale publiée par Tenable. Les appareils Arcadyan répondent avec plusieurs propriétés distinctives, y compris des valeurs d'en-tête uniques dans les réponses HTTP et plusieurs certificats SSL, y compris :

L'analyse des certificats Censys sur ces trois empreintes confirme que ces certificats partagent des valeurs communes et nous permettent de rechercher des hôtes en termes plus larges :

Étant donné que de nombreux rapports font état de "millions"d'appareils concernés, il est évident que Censys n'a pu trouver qu'une infime partie de ces hôtes écoutant sur l'internet public.

Étant donné que ces fabricants travaillent principalement en Europe et en Asie de l'Est, les dispositifs Censys identifiés se trouvaient dans les zones indiquées dans la carte géographique ci-dessous.

Dans les tableaux suivants, nous pouvons voir que la majorité de ces dispositifs sont situés au Japon(57% avec 2 534 hôtes), en Espagne(11% avec 522 hôtes), et en Argentine(7% avec 320 hôtes).

Chronologie complète des événements

Dans un premier temps, les chercheurs de Tenable ont signalé la vulnérabilité à un seul fournisseur, Buffalo, qui a confirmé le problème le 24 février et l'a transmis au bureau de Buffalo au Japon. C'est à ce moment-là que Tenable a découvert que la vulnérabilité n'était pas spécifique à Buffalo, mais plutôt à tout appareil utilisant un micrologiciel développé par le fabricant Arcadyan.

Les chercheurs de Tenable ont trouvé le code vulnérable dans une bibliothèque de programmation partagée par plusieurs fournisseurs, utilisée par 13 FAI dans 11 pays et vulnérable depuis une dizaine d'années.

Les appareils vulnérables peuvent être compromis à l'aide d'un simple exploit de traversée de répertoire, permettant à un attaquant de modifier la configuration de l'appareil pour permettre l'accès au shell et contourner l'étape d'authentification. Tenable a publié un article détaillé sur l'ensemble du processus d'exploitation ici.

Arcadyan a confirmé les problèmes le 25 avril et a informé Tenable qu'un correctif était en préparation. Lorsque Tenable a demandé une liste des appareils concernés, Arcadyan est resté silencieux, et il s'avère que cette liste était plutôt longue.

Le 5 août, la société Bad Packets, spécialisée dans l'analyse des menaces, a posté le tweet suivant, affirmant avoir vu des attaquants rechercher des routeurs Buffalo vulnérables :

Le 6 août, trois jours seulement après la publication du rapport, Juniper Threat Labs a confirmé que le bogue était activement utilisé par un groupe d'attaquants qui ont mené des attaques similaires sur des appareils de réseau domestique dans le passé pour installer le logiciel malveillant de botnet IoT Mirai.

nous avons identifié des modèles d'attaques qui tentent d'exploiter cette vulnérabilité dans la nature et qui proviennent d'une adresse IP située à Wuhan, dans la province de Hubei, en Chine.

- Juniper Threat Labs

Pourquoi est-ce important ?

Maintenant que Juniper a confirmé que les attaquants tentent d'utiliser cette vulnérabilité pour installer le botnet Mirai, les appareils non protégés peuvent analyser et attaquer à leur insu d'autres hôtes, participer à des attaques par déni de service distribué orchestrées et s'engager dans des activités frauduleuses.

Ce qui est le plus alarmant dans toute cette affaire, c'est le temps qui s'écoule entre la divulgation publique et l'exploitation active confirmée. La recherche en matière de sécurité n'est pas un miroir sans tain, et lorsqu'il s'agit de découvrir des vulnérabilités, il faut toujours supposer que les mauvais acteurs surveillent les mêmes flux d'informations que les défenseurs.

Que dois-je faire ?

La liste des appareils vulnérables ne cesse de s'allonger, et des détails continuent d'apparaître sur le front des logiciels malveillants. Nous ne pouvons pas supposer que l'internaute moyen se tient au courant des tendances en matière de sécurité et participe activement à la gestion des correctifs. La seule solution consiste à établir une ligne de communication claire entre les fournisseurs de services et leurs clients afin qu'ils mettent rapidement à niveau ces appareils.

• Mettez immédiatement à jour tous les appareils que vous possédez et qui figurent sur la liste croissante des fournisseurs concernés établie par le CERT.
• S'assurer que tous les dispositifs de mise en réseau disposent d'un logiciel à jour.
• Ne pas exposer les interfaces d'administration du routeur à l'internet.
• Surveillez en permanence votre infrastructure manuellement avec Censys Search, ou automatiquement avec Censys ASM pour identifier les ports et les services exposés involontairement.

Références

• CVE-2021-20090 sur Mitre
• Contournement de l'authentification sur les routeurs Arcadyan avec CVE-2021-20090 sur Tenable's Techblog
• CVE-2021-20090 Vue d'ensemble sur Tenable.com
• La vulnérabilité CVE-2021-20090 récemment divulguée est exploitée dans la nature sur le blog de Juniper
• Exploitation d'un bug de contournement d'authentification affectant des millions de routeurs sur Threatpost