Le logiciel malveillant VPNFilter est pire que prévu

VPNFilter

La tentation est grande pour les spécialistes de la sécurité d’exagérer les risques d’une vulnérabilité présentée en exclusivité, afin de profiter d’une exposition considérable dans les médias.

Ce n’est pas le cas de Talos, la filiale de cybersécurité de Cisco, qui a alerté sur les dangers du logiciel malveillant VPNFilter.

Il y a deux semaines, Talos présentait VPNFilter comme un logiciel malveillant s’attaquant aux routeurs grand public de Linksys, MikroTik, Netgear, TP-Link et QNAP.

Il permet à des organisations criminelles, sans doute russes, de contrôler les routeurs, pour lancer par exemple des attaques distribuées par déni de service. Ainsi que de rendre le routeur inutilisable à jamais.

Elle estimait à 500 000 les routeurs exposés dans le monde.

Les recherches supplémentaires effectuées en coopération avec divers partenaires, ont montré que de nombreux modèles supplémentaires de routeurs de ces marques étaient vulnérables.

Qui plus est, il faut ajouter les vendeurs ASUS, D-Link, Huawei, Ubiquit, UPVEL et ZTE à la liste des fabricants de routeurs vulnérables.

La liste complète à ce jour de tous les appareils vulnérables se trouve ici : https://blog.talosintelligence.com/2018/06/vpnfilter-update.html. Elle est copiée ci-dessous.

ssler

Enfin, Talos a découvert un module d’étape 3, nommé ssler, qui injecte du contenu malveillant dans le trafic web à mesure qu’il passe par le routeur infecté, sans que l’utilisateur ne s’en doute.

Cela permet de lancer des attaques de l’homme du milieu sur des appareils en bout de chaîne, comme des ordinateurs, des tablettes ou des ordiphones.

Pour contourner les connexions chiffrées en HTTPS, VPNFilter les dégrade autant que possible en http. Les domaines google.com, twitter.com, youtube.com et facebook.com sont spécialement traités.

Typiquement, ssler peut exfiltrer des informations, voler des mots de passe et des informations de connexion.

Enfin, un second module d’étape 3 permet à tout module d’étape 2 d’activer l’effacement de traces du logiciel malveillant, puis de rendre l’appareil inutilisable.

 

Appareils vulnérables au 6 juin 2018

 

Vendeur Appareil / Série
*: nouveau
D-Link DES-1210-08P*; DIR-300 Series*; DSR-250, 500, et 1000 series*
Huawei HG8245*
Linksys E1200; E1500; E3000*; E3200*; E4200*; RV082*; WRVS4400N
Microtik CCR1009*; CCR1x series; CRS series*; RB series*; STX5*
Netgear DG834*; DGN series*; FVS318N*; MBRN3000*; R-series; WNR series*; WND series*; UTM50*
QNAP TS251; TS439 Pro; autres appareils avec le logiciel QTS
TP-Link R600VPN; TL-WR series*
Ubiquiti NSM2*; PBE M5*
UPVEL Appareils inconnus
ZTE ZXHN H108N*