Retour sur VPNFilter
Le 23 mai 2018, l'entreprise de recherche en cybersécurité Cisco Talos a publié un article concernant un code malveillant déployé sur un botnet de 500 000 équipements, situés dans 54 pays, appelé VPNFilter[1]. Ce code malveillant s'attaque aux petits routeurs des marques ZTE, UPVEL, Ubiquiti, Huawei, D-Link, ASUS, Linksys, MikroTik, NETGEAR et TP-Link et aux NAS domestiques de la marque QNAP. VPNFilter est composé de 3 parties, communément appelées stages, distinctes et installées successivement lors de la compromission.mise à jour du 12 juin 2018 :
- ajout de nouveaux modèles vulnérables et ciblés par le botnet VPNFilter
- précisions sur les second et troisièmes stages (nouveaux modules)
- tentatives de reconstitution du botnet
Synthèse du fonctionnement de VPNFilter selon l'éditeur
Le premier stage est installé au travers de l'exploitation d'une vulnérabilité présente sur le routeur domestique ou le NAS. Chacun des équipements de la liste référencée par Talos fait l'objet de nombreuses vulnérabilités, facilement exploitables du fait de la position frontale des routeurs vis-à-vis d'internet. Par ailleurs, l'application de correctifs de sécurité sur ces équipements peu coûteux et à destination des TPE/PME et particuliers est peu courante. À ce titre, Talos estime que le groupe propriétaire du botnet n'a pas eu besoin de recourir à l'usage de vulnérabilités 0-day.Le premier stage a pour objectif de rester persistant, c'est à dire de rester exécuté par la machine même après un redémarrage. Cette propriété est singulière dans le domaine des codes malveillants ciblant des équipements disposant de peu d'espace de stockage. Son second objectif est d'obtenir l'adresse IP de son futur serveur de command and control au travers de la récupération de métadonnées d'images hébergées sur internet. Ces images étaient téléchargées depuis le site Photobucket ainsi que sur un domaine de secours. Les autorités américaines ont fait supprimer les images du premier site et récupéré le second domaine, bloquant ainsi toute nouvelle installation d'un second stage pour cette version de VPNFilter[2].
Le second stage, transmis par le serveur de command and control a pour objectif de fournir un jeu de commandes élémentaires et utiles à l'attaquant pour interagir avec l'équipement. Il joue également le rôle de support aux modules de VPNFilter, qui constituent le troisième stage. Cisco Talos a formellement identifié 4 modules :
- un module chargé d'intercepter les communications réseau, plus particulièrement les éléments d'authentification http (logins et mots de passe web), ainsi que tout flux lié au protocole de communication industriel MODBUS ;
- un module de communication TOR ;
- un module permettant d'écraser le microcode de l'équipement puis de le redémarrer, ce qui revient à le rendre inutilisable ;
- un module permettant de réaliser des attaques de type homme du milieu sur le protocole HTTP avec des capacités d'interception, de modification et de désactivation de TLS.
Contexte de la publication de l'article de Cisco Talos
L'éditeur de sécurité dit avoir précipité sa publication après avoir observé un pic très significatif d'infections les 8 et 17 mai 2018 en Ukraine.Perspectives générales
Ce cas illustre - une fois de plus - le problème de la maîtrise d'équipements peu coûteux, vulnérables, massivement distribués, très exposés et donc ciblés. Leurs propriétaires sont généralement des particuliers peu à même de détecter l'infection d'un produit qui par ailleurs continue de fonctionner de façon nominale. La propagation de VPNFilter est basée sur de nombreuses vulnérabilités, pour la plupart anciennes. Le démantèlement de ce type de botnet est complexe, de par la multiplicité et l’hétérogénéité de leurs propriétaires, mais aussi parce que les équipements concernés resteront majoritairement vulnérables aux anciennes et futures vulnérabilités les concernant. Des chercheurs en sécurité des équipes de JASK et Greynoise ont par ailleurs constaté que, suite aux actions du FBI, les propriétaires du botnet VPNFilter cherchaient à reconstituer ce dernier en infectant de nouveaux équipements [3], tandis que Talos élargissait le périmètre des modèles ciblés [4].L'architecture logicielle de VPNFilter est singulière, de par la persistance du premier stage, ainsi que la modularité du troisième stage. En effet, les capacités de ce type de botnet sont généralement limitées à certains types d'attaques (dénis de service distribués, minage de cryptomonnaies ...), là ou VPNFilter constitue une infrastructure capable de réaliser n'importe quel type d'opération, en fonction des modules choisis et installés par l'attaquant.
Enfin, l'usage d'un botnet de petits équipements par un acteur de haut niveau constitue également un fait notable. De prime abord opportuniste, cette stratégie s'appuie également sur les contraintes liées au manque de maîtrise et de sécurisation de nombreux équipements disséminés dans le monde, complexifiant l'analyse et l'attribution de la menace.
Équipements concernés et recommandations
Produits Asus : RT-AC66U (nouveau) RT-N10 (nouveau) RT-N10E (nouveau) RT-N10U (nouveau) RT-N56U (nouveau) RT-N66U (nouveau)Produits D-Link : DES-1210-08P (nouveau) DIR-300 (nouveau) DIR-300A (nouveau) DSR-250N (nouveau) DSR-500N (nouveau) DSR-1000 (nouveau) DSR-1000N (nouveau)
Produits Huawei : HG8245 (nouveau)
Produits Linksys : E1200 E2500 E3000 (nouveau) E3200 (nouveau) E4200 (nouveau) RV082 (nouveau) WRVS4400N
Produits Mikrotik (résolu dans la version 6.38.5 de RouterOS) : CCR1009 (nouveau) CCR1016 CCR1036 CCR1072 CRS109 (nouveau) CRS112 (nouveau) CRS125 (nouveau) RB411 (nouveau) RB450 (nouveau) RB750 (nouveau) RB911 (nouveau) RB921 (nouveau) RB941 (nouveau) RB951 (nouveau) RB952 (nouveau) RB960 (nouveau) RB962 (nouveau) RB1100 (nouveau) RB1200 (nouveau) RB2011 (nouveau) RB3011 (nouveau) RB Groove (nouveau) RB Omnitik (nouveau) STX5 (nouveau)
Produits Netgear : DG834 (nouveau) DGN1000 (nouveau) DGN2200 DGN3500 (nouveau) FVS318N (nouveau) MBRN3000 (nouveau) R6400 R7000 R8000 WNR1000 WNR2000 WNR2200 (nouveau) WNR4000 (nouveau) WNDR3700 (nouveau) WNDR4000 (nouveau) WNDR4300 (nouveau) WNDR4300-TN (nouveau) UTM50 (nouveau)
Produits QNAP : TS251 TS439 Pro Autres NAS QNAP exécutant QTS
Produits TP-Link : R600VPN TL-WR741ND (nouveau) TL-WR841N (nouveau)
Produits Ubiquiti : NSM2 (nouveau) PBE M5 (nouveau)
Produits UPVEL : Unknown Models (nouveau)
Produits ZTE : ZXHN H108N (nouveau)
Compte tenu de la diversité des produits et des vulnérabilités exploitées, il est conseillé:
- de remettre le micrologiciel du produit en version d'usine, en suivant les instructions du constructeur ;
- de mettre à jour le produit en appliquant l'ensemble des correctifs fournis par son constructeur;
- de changer le mot de passe d'administration par défaut;
- de désactiver l'administration à distance
Documentation
- article de blog de Cisco Talos https://blog.talosintelligence.com/2018/05/VPNFilter.html
- communication du département américain de la justice à propos des actions de démantèlement du botnet VPNFilter https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected
- article de Jask évoquant un nouveau pic d'infection d'équipements au profit de VPNFilter https://jask.com/from-russia-with-love/
- second article de blog de Cisco Talos https://blog.talosintelligence.com/2018/06/vpnfilter-update.html
