{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>De nombreux routeurs vuln\u00e9rables ont \u00e9t\u00e9 victimes de cette  attaque. Des syst\u00e8mes vuln\u00e9rables ont \u00e9t\u00e9 rapport\u00e9s outre en  Allemagne, en Irlande, au Royaume-Uni, au Br\u00e9sil ou encore en  Finlande. Cette vuln\u00e9rabilit\u00e9 d\u00e9pend du mat\u00e9riel d\u00e9ploy\u00e9 par  l'op\u00e9rateur assurant l'acc\u00e8s \u00e0 internet et la configuration qu'il  a d\u00e9ploy\u00e9e sur celui-ci. L'attaque vise ici des routeurs dont la  configuration expose le protocole TR-064 sur Internet au travers  du port 7547.</P>  <P>Par ailleurs, plusieurs versions du binaire malveillant sont  en circulation. Ces versions sont compil\u00e9es pour s'ex\u00e9cuter sur  diff\u00e9rentes architectures (MIPS, ARM, SPARC). Cela montre la  volont\u00e9 des auteurs de cette attaque de toucher un large \u00e9ventail  d'\u00e9quipements.<BR>  <BR>  Il n'existe pas \u00e0 ce jour de liste pr\u00e9cise de syst\u00e8mes  affect\u00e9s.</P>","closed_at":"2017-01-26","content":"## Solution\n\nPour les op\u00e9rateurs, il est recommand\u00e9 de restreindre l'acc\u00e8s aux\ninterfaces d'administration depuis un r\u00e9seau d\u00e9di\u00e9, exclusivement\naccessible par l'op\u00e9rateur et authentifi\u00e9.  \n  \nEnfin, le code malveillant s'ex\u00e9cutant en m\u00e9moire, un red\u00e9marrage de\nl'\u00e9quipement permet d'\u00e9liminer le ver. Cependant tant que le ver\ncontinue \u00e0 se propager et que la vuln\u00e9rabilit\u00e9 n'est pas corrig\u00e9e par\nl'op\u00e9rateur, le routeur sera rapidement r\u00e9infect\u00e9.\n","cves":[],"links":[{"title":"Message sur le forum SANS ISC d\u00e9taillant la vuln\u00e9rabilit\u00e9    sur le protocole TR-069","url":"https://isc.sans.edu/forums/diary/TR069+NewNTPServer+Exploits+What+we+know+so+far/21763/1"},{"title":"Communiqu\u00e9 de presse de Deutsche Telekom concernant    l'attaque sur leus \u00e9quipements","url":"https://www.telekom.com/en/media/details/the-open-interface-myth-445290"},{"title":"Article original annon\u00e7ant la vuln\u00e9rabilit\u00e9 sur le    protocole TR-069","url":"https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/"},{"title":"Article de Flashpoint sur les r\u00e9percussions de l'attaque en    Allemagne","url":"https://www.flashpoint-intel.com/new-mirai-variant-involved-latest-deutsche-telekom-outage/"},{"title":"Article de Securelist sur la vuln\u00e9rabilit\u00e9 exploit\u00e9 dans    l'attaque","url":"https://securelist.com/blog/incidents/76791/new-wave-of-mirai-attacking-home-routers/"},{"title":"Article de BadCyber sur la vuln\u00e9rabilit\u00e9 exploit\u00e9 dans    l'attaque","url":"https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/"}],"reference":"CERTFR-2016-ALE-009","revisions":[{"description":"version initiale.","revision_date":"2016-12-01T00:00:00.000000"},{"description":"correction sur les d\u00e9tails de la campagne.","revision_date":"2016-12-05T00:00:00.000000"},{"description":"cl\u00f4ture de l'alerte.","revision_date":"2017-01-26T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le CERT-FR a constat\u00e9 une importante campagne d'attaque \u00e0 l'encontre de\nrouteurs DSL. Ces routeurs mis \u00e0 disposition par les fournisseurs\nd'acc\u00e8s internet pour leurs clients permettent la connexion \u00e0 internet.\nIls font l'objet d'une attaque d'une variante du ver Mirai visant \u00e0 en\nprendre le contr\u00f4le et \u00e0 les incorporer dans un r\u00e9seau de machine\nzombie.  \n  \nCette vague d'attaque cible une vuln\u00e9rabilit\u00e9 exploitable <span\nclass=\"textit\">via</span> le protocole TR-064 qui permet\nl'autoconfiguration du LAN (DHCP, SSDP, etc.). Ce service de\nconfiguration n'est en th\u00e9orie accessible que depuis le r\u00e9seau interne.\nLe protocole TR-069 est utilis\u00e9 par les op\u00e9rateurs pour administrer les\nrouteurs \u00e0 distance. Les \u00e9quipements cibl\u00e9s par cette attaque exposent\nun seul et m\u00eame d\u00e9mon pour les protocoles TR-069 et TR-064. D\u00fb \u00e0 un\nd\u00e9faut de cloisonnement r\u00e9seau chez certains op\u00e9rateurs, ces services\nsont accessibles depuis internet sur le port 7547. Cela \u00e0 pour\ncons\u00e9quence d'exposer le protocole TR-064 sur internet. Ce protocole\npr\u00e9sente une faille de s\u00e9curit\u00e9 permettant l'ex\u00e9cution de code \u00e0\ndistance. Le code d'exploitation de la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 publi\u00e9 dans\nun article de blog le 7 novembre 2016, et a \u00e9t\u00e9 int\u00e9gr\u00e9 au cadriciel\nd'exploitation publique Metasploit.  \n  \nUne forte augmentation du trafic internet \u00e0 destination du port 7547 a\n\u00e9t\u00e9 observ\u00e9e \u00e0 partir du 27 novembre et traduit des tentatives\nd'exploitation de la vuln\u00e9rabilit\u00e9.\n\nLa premi\u00e8re phase de l'attaque consiste en l'envoi d'une requ\u00eate SOAP\n\u00e9mise \u00e0 destination du port 7547 de l'\u00e9quipement cibl\u00e9. La charge utile\nd\u00e9clenche le t\u00e9l\u00e9chargement puis l'ex\u00e9cution d'un code malveillant\ndisponible sur un serveur distant contr\u00f4l\u00e9 par l'attaquant.  \n  \nLe binaire t\u00e9l\u00e9charg\u00e9 est une variante du ver Mirai qui s'attaquera au\nservice d'administration du boitier accessible uniquement en local ou\ndepuis le r\u00e9seau interne du client. Une des premi\u00e8res op\u00e9rations\nr\u00e9alis\u00e9es par Mirai consiste \u00e0 supprimer le binaire du disque, il\nrestera donc uniquement en m\u00e9moire et ne dispose d'aucun m\u00e9canisme de\npersistance. Le logiciel malveillant fermera \u00e9galement le port 7547\nvuln\u00e9rable. Il scannera ensuite internet \u00e0 la recherche d'\u00e9quipement\npr\u00e9sentant le port 7547 ouvert pour les infecter. Le d\u00e9roulement de\nl'attaque des routeurs ne semble pas s'\u00eatre d\u00e9roul\u00e9 correctement sur les\n\u00e9quipements de l'op\u00e9rateur allemand Deutsche Telekom provoquant une\ninterruption de l'acc\u00e8s \u00e0 internet de centaines de milliers de clients\nentre dimanche 27 et lundi 28 novembre 2016.\n","title":"Campagne d'attaque contre des routeurs DSL","vendor_advisories":[]}