Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Blogs

CVE-2021-20090 : Là où les buffles se font posséder

Résumé

Le 3 août, Tenable Security a révélé une vulnérabilité dans une gamme de routeurs résidentiels de Buffalo Technologies utilisant un micrologiciel développé par Arcadyan. Trois jours plus tard, les chercheurs ont confirmé que des attaquants exploitaient activement les appareils vulnérables pour tenter de déployer des logiciels malveillants.

Analyse

Au 12 août, Censys a identifié 4 378 dispositifs correspondant à l'empreinte digitale publiée par Tenable. Les appareils Arcadyan répondent avec plusieurs propriétés distinctives, y compris des valeurs d'en-tête uniques dans les réponses HTTP et plusieurs certificats SSL, y compris :

L'analyse des certificats Censys sur ces trois empreintes confirme que ces certificats partagent des valeurs communes et nous permettent de rechercher des hôtes en termes plus larges :

Analyse des certificats les plus courants

Étant donné que de nombreux rapports font état de "millions"d'appareils concernés, il est évident que Censys n'a pu trouver qu'une infime partie de ces hôtes écoutant sur l'internet public.

Étant donné que ces fabricants travaillent principalement en Europe et en Asie de l'Est, les dispositifs Censys identifiés se trouvaient dans les zones indiquées dans la carte géographique ci-dessous.

Dans les tableaux suivants, nous pouvons voir que la majorité de ces dispositifs sont situés au Japon(57% avec 2 534 hôtes), en Espagne(11% avec 522 hôtes), et en Argentine(7% avec 320 hôtes).

Localisation Hôtes
Japon 2,534 57.88%
Espagne 522 11.92%
Pays-Bas 320 7.31%
Argentine 300 6.85%
Allemagne 278 6.35%
Royaume-Uni 96 2.19%
Australie 68 1.55%
Italie 38 0.87%
Russie 38 0.87%
Tchécoslovaquie 27 0.62%
autres 157 3.59%
Total 4,378 100.0%

Chronologie complète des événements

Dans un premier temps, les chercheurs de Tenable ont signalé la vulnérabilité à un seul fournisseur, Buffalo, qui a confirmé le problème le 24 février et l'a transmis au bureau de Buffalo au Japon. C'est à ce moment-là que Tenable a découvert que la vulnérabilité n'était pas spécifique à Buffalo, mais plutôt à tout appareil utilisant un micrologiciel développé par le fabricant Arcadyan.

Les chercheurs de Tenable ont trouvé le code vulnérable dans une bibliothèque de programmation partagée par plusieurs fournisseurs, utilisée par 13 FAI dans 11 pays et vulnérable depuis une dizaine d'années.

Les appareils vulnérables peuvent être compromis à l'aide d'un simple exploit de traversée de répertoire, permettant à un attaquant de modifier la configuration de l'appareil pour permettre l'accès au shell et contourner l'étape d'authentification. Tenable a publié un article détaillé sur l'ensemble du processus d'exploitation ici.

Arcadyan a confirmé les problèmes le 25 avril et a informé Tenable qu'un correctif était en préparation. Lorsque Tenable a demandé une liste des appareils concernés, Arcadyan est resté silencieux, et il s'avère que cette liste était plutôt longue.

Le 5 août, la société Bad Packets, spécialisée dans l'analyse des menaces, a posté le tweet suivant, affirmant avoir vu des attaquants rechercher des routeurs Buffalo vulnérables :

Le 6 août, trois jours seulement après la publication du rapport, Juniper Threat Labs a confirmé que le bogue était activement utilisé par un groupe d'attaquants qui ont mené des attaques similaires sur des appareils de réseau domestique dans le passé pour installer le logiciel malveillant de botnet IoT Mirai.

nous avons identifié des modèles d'attaques qui tentent d'exploiter cette vulnérabilité dans la nature et qui proviennent d'une adresse IP située à Wuhan, dans la province de Hubei, en Chine.

- Juniper Threat Labs

Pourquoi est-ce important ?

Maintenant que Juniper a confirmé que les attaquants tentent d'utiliser cette vulnérabilité pour installer le botnet Mirai, les appareils non protégés peuvent analyser et attaquer à leur insu d'autres hôtes, participer à des attaques par déni de service distribué orchestrées et s'engager dans des activités frauduleuses.

Ce qui est le plus alarmant dans toute cette affaire, c'est le temps qui s'écoule entre la divulgation publique et l'exploitation active confirmée. La recherche en matière de sécurité n'est pas un miroir sans tain, et lorsqu'il s'agit de découvrir des vulnérabilités, il faut toujours supposer que les mauvais acteurs surveillent les mêmes flux d'informations que les défenseurs.

Que dois-je faire ?

La liste des appareils vulnérables ne cesse de s'allonger, et des détails continuent d'apparaître sur le front des logiciels malveillants. Nous ne pouvons pas supposer que l'internaute moyen se tient au courant des tendances en matière de sécurité et participe activement à la gestion des correctifs. La seule solution consiste à établir une ligne de communication claire entre les fournisseurs de services et leurs clients afin qu'ils mettent rapidement à niveau ces appareils.

  • Mettez immédiatement à jour tous les appareils que vous possédez et qui figurent sur la liste croissante des fournisseurs concernés établie par le CERT.
  • S'assurer que tous les dispositifs de mise en réseau disposent d'un logiciel à jour.
  • Ne pas exposer les interfaces d'administration du routeur à l'internet.
  • Surveillez en permanence votre infrastructure manuellement avec Censys Search, ou automatiquement avec Censys ASM pour identifier les ports et les services exposés involontairement.


Références

A propos de l'auteur

Mark Ellzey
Chercheur principal en sécurité Tous les postes de Mark Ellzey
Mark Ellzey est chercheur principal en sécurité à l'adresse Censys. Avant d'occuper son poste actuel, Mark a travaillé pendant plus de 22 ans en tant qu'ingénieur en sécurité des réseaux et développeur de logiciels pour plusieurs fournisseurs de services Internet et institutions financières.
Solutions de gestion de la surface d'attaque
En savoir plus