Une vulnérabilité récemment révélée dans les routeurs exécutant le micrologiciel Arcadyan est actuellement exploitée à l'état sauvage par des acteurs malveillants inconnus.
La vulnérabilité, qui a été divulgué par les chercheurs de Tenable en août 3, existe depuis au moins une décennie. Les personnes concernées sont au moins 20 modèles de routeur de 17 vendeurs, y compris Verizon, Vodafone, Telus, Telstra, Asus, Ligne droite, British Telecom, Deutsche Telekom, Buffle, Orange. La faille en question, connu sous l'identifiant CVE-2021-20090, est critique, avec un score CVSS de 9.9.
Qu'est-ce que CVE-2021-20090?
CVE-2021-20090 est une vulnérabilité de traversée de chemin dans les interfaces Web des routeurs exécutant le micrologiciel Arcadyan. La faille pourrait permettre à des pirates informatiques distants non authentifiés de contourner l'authentification. Les pirates l'exploitent actuellement dans des attaques DDoS contre les routeurs domestiques, les infecter avec une variante du tristement célèbre botnet Mirai. Le résultat est des attaques DDoS. Une exploitation réussie permettrait aux pirates informatiques inconnus d'accéder à des informations sensibles, tels que des jetons de demande valides. Une fois obtenu, ceux-ci pourraient ensuite être utilisés pour faire des demandes de modification des paramètres du routeur concerné.
Attaques exploitant CVE-2021-20090
En août 6, Les chercheurs de Juniper « ont identifié certains schémas d'attaque qui tentent d'exploiter cette vulnérabilité à l'état sauvage à partir d'une adresse IP située à Wuhan, Province du Hubei, Chine." Il est apparu que les pirates tentaient de déployer une variante Mirai d'une manière similaire à une attaque divulguée par Palo Alto Networks en mars 2021.
« Nous avions assisté à la même activité à partir de février 18. La similitude pourrait indiquer que le même acteur de la menace est à l'origine de cette nouvelle attaque et tente de mettre à niveau son arsenal d'infiltration avec une autre vulnérabilité récemment révélée.. Étant donné que la plupart des gens peuvent même ne pas être conscients du risque de sécurité et ne mettront pas à niveau leur appareil de sitôt, cette tactique d'attaque peut être très efficace, pas cher et facile à réaliser," Genévrier a dit.
Autres vulnérabilités exploitées parallèlement à CVE-2021-20090
Il semble que ce problème de traversée de chemin dans les routeurs fonctionnant sous Arcadyan ne soit pas le seul que les pirates non identifiés aient exploité dans le passé. D'autres vulnérabilités incluent CVE-2020-29557 dans les appareils D-Link DIR-825 R1, CVE-2021-1497 et CVE-2021-1498 dans Cisco HyperFlex HX, CVE-2021-31755 à Tenda AC11, CVE-2021-22502 dans Micro Focus Operation Bridge Reporter, et CVE-2021-22506 dans Micro Focus Access Manager.
Pour éviter tout risque découlant de toute vulnérabilité, les utilisateurs doivent mettre à jour le micrologiciel de leur routeur vers la dernière version dès qu'un correctif est disponible.
Il est à noter que le mois dernier, Microsoft a divulgué une série de failles de sécurité dans les routeurs Netgear. Les failles pourraient entraîner des fuites de données et des prises de contrôle complètes du système. Heureusement, les vulnérabilités ont été corrigées avant la divulgation publique.