Le malware Vpnfilter a infecté un million de routeurs - voici ce que vous devez savoir

Une récente découverte selon laquelle un nouveau logiciel malveillant basé sur un routeur, connu sous le nom de VPNFilter, avait infecté plus de 500 000 routeurs était encore pire. Dans un rapport qui devrait être publié le 13 juin, Cisco indique que plus de 200 000 routeurs supplémentaires ont été infectés et que les fonctionnalités de VPNFilter sont bien pires que prévu initialement. Ars Technica a annoncé à quoi s'attendre de Cisco mercredi.

VPNFilter est un logiciel malveillant installé sur un routeur Wi-Fi. Il a déjà infecté près d’un million de routeurs dans 54 pays et la liste des périphériques connus pour être affectés par VPNFilter contient de nombreux modèles de consommation populaires. Il est important de noter que VPNFilter n'est pas un exploit de routeur qu'un attaquant peut trouver et utiliser pour accéder à un accès. Il s'agit d'un logiciel installé involontairement sur un routeur qui est capable de faire des choses potentiellement terribles.

VPNFilter est un malware qui s’est en quelque sorte installé sur votre routeur, et non une vulnérabilité que des attaquants peuvent utiliser pour obtenir un accès.

La première attaque de VPNFilter consiste à utiliser un homme au milieu pour attaquer le trafic entrant. Il essaie ensuite de rediriger le trafic crypté HTTPS sécurisé vers une source incapable de l'accepter, ce qui ramène ce trafic à un trafic HTTP normal et non crypté. Le logiciel utilisé à cet effet, nommé ssler par les chercheurs, contient des dispositions spéciales pour les sites dotés de mesures supplémentaires permettant d'éviter ce problème, tels que Twitter.com ou tout service Google.

Une fois le trafic non chiffré, VPNFilter peut alors surveiller tout le trafic entrant et sortant transitant par un routeur infecté. Plutôt que de collecter tout le trafic et de le rediriger vers un serveur distant pour qu'il soit examiné ultérieurement, il cible spécifiquement le trafic réputé contenir des informations sensibles telles que des mots de passe ou des données bancaires. Les données interceptées peuvent ensuite être renvoyées à un serveur contrôlé par des pirates informatiques ayant des liens connus avec le gouvernement russe.

VPNFilter est également capable de modifier le trafic entrant pour falsifier les réponses d’un serveur. Cela aide à couvrir les traces du malware et lui permet de fonctionner plus longtemps avant que vous ne sachiez que quelque chose ne va pas. Voici un exemple de ce que VPNFilter est capable de faire pour le trafic entrant donné à ARS Technica par Craig Williams, leader technologique et directeur international de la sensibilisation chez Talos:

Mais il semble que le passé ait complètement évolué, et maintenant, non seulement cela leur permet de le faire, mais ils peuvent manipuler tout ce qui passe à travers le périphérique compromis. Ils peuvent modifier le solde de votre compte bancaire de sorte qu'il paraisse normal tout en siphonnant de l'argent et potentiellement des clés PGP, etc. Ils peuvent manipuler tout ce qui entre et qui sort de l'appareil.

Il est difficile, voire impossible (en fonction de vos compétences et du modèle de votre routeur) de savoir si vous êtes infecté. Les chercheurs suggèrent à toute personne utilisant un routeur connu pour être sensible à VPNFilter de présumer qu'elle est infectée et de prendre les mesures nécessaires pour reprendre le contrôle de son trafic réseau.

Routeurs connus pour être vulnérables

Cette longue liste contient les routeurs consommateurs connus pour être sensibles à VPNFilter. Si votre modèle apparaît dans cette liste, il est suggéré de suivre les procédures décrites dans la section suivante de cet article. Les périphériques de la liste marqués "nouveaux" sont des routeurs récemment découverts comme vulnérables.

Appareils Asus:

• RT-AC66U (nouveau)
• RT-N10 (nouveau)
• RT-N10E (nouveau)
• RT-N10U (nouveau)
• RT-N56U (nouveau)

Périphériques D-Link:

• DES-1210-08P (nouveau)
• DIR-300 (nouveau)
• DIR-300A (nouveau)
• DSR-250N (nouveau)
• DSR-500N (nouveau)
• DSR-1000 (nouveau)
• DSR-1000N (nouveau)

Huawei Devices:

• HG8245 (nouveau)

Périphériques Linksys:

• E1200
• E2500
• E3000 (nouveau)
• E3200 (nouveau)
• E4200 (nouveau)
• RV082 (nouveau)
• WRVS4400N

Appareils Mikrotik:

• CCR1009 (nouveau)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (nouveau)
• CRS112 (nouveau)
• CRS125 (nouveau)
• RB411 (nouveau)
• RB450 (nouveau)
• RB750 (nouveau)
• RB911 (nouveau)
• RB921 (nouveau)
• RB941 (nouveau)
• RB951 (nouveau)
• RB952 (nouveau)
• RB960 (nouveau)
• RB962 (nouveau)
• RB1100 (nouveau)
• RB1200 (nouveau)
• RB2011 (nouveau)
• RB3011 (nouveau)
• RB Groove (nouveau)
• RB Omnitik (nouveau)
• STX5 (nouveau)

Périphériques Netgear:

• DG834 (nouveau)
• DGN1000 (nouveau)
• DGN2200
• DGN3500 (nouveau)
• FVS318N (nouveau)
• MBRN3000 (nouveau)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (nouveau)
• WNR4000 (nouveau)
• WNDR3700 (nouveau)
• WNDR4000 (nouveau)
• WNDR4300 (nouveau)
• WNDR4300-TN (nouveau)
• UTM50 (nouveau)

Périphériques QNAP:

• TS251
• TS439 Pro
• Autres périphériques NAS QNAP exécutant le logiciel QTS

Périphériques TP-Link:

• R600VPN
• TL-WR741ND (nouveau)
• TL-WR841N (nouveau)

Appareils Ubiquiti:

• NSM2 (nouveau)
• PBE M5 (nouveau)

ZTE Devices:

• ZXHN H108N (nouveau)

Qu'as tu besoin de faire

Dès maintenant, dès que vous en aurez la possibilité, vous devrez redémarrer votre routeur. Pour ce faire, débranchez-le simplement du secteur pendant 30 secondes, puis rebranchez-le. De nombreux modèles de routeur vident les applications installées lorsqu'elles sont redémarrées.

La prochaine étape consiste à réinitialiser le routeur en usine. Vous trouverez des informations sur la procédure à suivre dans le manuel fourni avec le produit ou sur le site Web du fabricant. Cela implique généralement l'insertion d'une broche dans un trou en retrait pour appuyer sur un micro-commutateur. Lorsque vous remettez votre routeur en marche, vous devez vous assurer qu'il repose sur la toute dernière version de son microprogramme. Encore une fois, consultez la documentation fournie avec votre routeur pour savoir comment procéder à la mise à jour.

Ensuite, effectuez un audit de sécurité rapide de la manière dont vous utilisez votre routeur.

• N'utilisez jamais le nom d'utilisateur et le mot de passe par défaut pour l'administrer. Tous les routeurs du même modèle utiliseront le nom et le mot de passe par défaut, ce qui facilite la modification des paramètres ou l’installation de programmes malveillants.
• N'exposez jamais de périphériques internes à Internet sans un pare-feu puissant. Cela inclut des éléments tels que les serveurs FTP, les serveurs NAS, les serveurs Plex ou tout autre périphérique intelligent. Si vous devez exposer un périphérique connecté en dehors de votre réseau interne, vous pouvez probablement utiliser un logiciel de filtrage et de transfert de ports. Sinon, investissez dans un pare-feu matériel ou logiciel puissant.
• Ne laissez jamais l'administration à distance activée. Cela peut être pratique si vous êtes souvent loin de votre réseau, mais c'est un point d'attaque potentiel que chaque pirate informatique doit rechercher.
• Restez toujours à jour. Cela signifie qu’il faut vérifier régulièrement si un nouveau micrologiciel est installé et, plus important encore, assurez-vous de l’ installer s’il est disponible.

Enfin, si vous ne parvenez pas à mettre à jour le micrologiciel afin d’empêcher l’installation de VPNFilter (le site Web de votre fabricant aura les détails), achetez-en un nouveau. Je sais que dépenser de l'argent pour remplacer un routeur parfaitement bon et fonctionnel est un peu extrême, mais vous ne saurez pas si votre routeur est infecté, à moins que vous ne soyez pas une personne qui n'a pas besoin de lire ce genre de conseils.

Nous aimons les nouveaux systèmes de routeur maillé qui peuvent être mis à jour automatiquement à chaque fois qu'un nouveau micrologiciel est disponible, tel que Google Wifi, car des éléments tels que VPNFilter peuvent survenir à tout moment et à n'importe qui. Cela vaut la peine d’y jeter un coup d’œil si vous êtes à la recherche d’un nouveau routeur.