L'analyse en cours du logiciel malveillant des routeurs VPNFilter, révélée par la société de réseau Cisco il y a deux semaines et qui aurait infecté jusqu'à 500 000 périphériques, a révélé que l'attaque était potentiellement plus dangereuse pour les utilisateurs que prévu et qu'elle affectait un nombre beaucoup plus important de périphériques..

Ce programme malveillant modulaire cible des équipements réseau tels que des routeurs domestiques et de petites entreprises, des boîtiers NAS et des commutateurs réseau. Il a maintenant été découvert sur des appareils ASUS, D-Link, Huawei, Ubiquiti, UPVEL et ZTE..

À l'origine, des chercheurs des laboratoires Talos de Cisco avaient découvert que VPNFilter résidait sur des périphériques de Linksys, Netgear, QNAP et TP-Link. Le nom de Huawei dans la liste suscitera probablement le plus d’attention, car le fournisseur est un fabricant d’appareil original très apprécié des grands fournisseurs de services Internet, tels que TalkTalk, basé au Royaume-Uni..

L'infection initiale a été jugée suffisamment dangereuse pour que peu de temps après que Cisco ait révélé son existence, le FBI a pris des mesures pour saisir un domaine que le programme malveillant utilisait comme serveur de commande et de contrôle..

L'agence de droit américaine a également lancé un avertissement global aux propriétaires d'appareils potentiellement infectés leur demandant de redémarrer leur équipement, ce qui effacerait les éléments les plus dangereux du malware et l'empêcherait de causer d'autres dommages..

  • En relation: Un nouveau code de sécurité pour l'internet des objets vise à éradiquer Mirai et d'autres menaces

Nouvelles fonctionnalités découvertes

Initialement considéré comme un botnet assez standard, qui utiliserait un équipement infecté pour mener des cyber-attaques sur d'autres cibles, le Talos Intelligence Group de Cisco a depuis découvert de nouvelles fonctionnalités dans les programmes malveillants, susceptibles de mettre davantage en péril les propriétaires de routeurs infectés..

En particulier, un module appelé «ssler» semble spécifiquement conçu pour compromettre le trafic Internet envoyé vers et depuis un routeur infecté. Le module utilise une attaque de type "homme du milieu" qui tente de rétrograder le trafic Web HTTPS sécurisé afin que les données soient envoyées via HTTP sous forme de texte en clair non crypté, ce qui facilite grandement l'interception et la capture d'informations sensibles telles que les noms d'accès et les mots de passe..

Cisco n’a pas révélé le nombre total de périphériques supplémentaires qui, selon lui, pourraient être infectés, mais a déclaré que, malgré les avertissements antérieurs selon lesquels les utilisateurs devaient redémarrer les périphériques menacés, le programme malveillant persiste dans la nature et que la menace "continue de croître"”.

Cisco a fourni une liste mise à jour des périphériques susceptibles d'être affectés. Si vous possédez l'un des équipements ci-dessous, il vous est donc vivement conseillé de le redémarrer:

  • Asus RT-AC66U (nouveau)
  • Asus RT-N10 (nouveau)
  • Asus RT-N10E (nouveau)
  • Asus RT-N10U (nouveau)
  • Asus RT-N56U (nouveau)
  • Asus RT-N66U (nouveau)
  • D-Link DES-1210-08P (nouveau)
  • D-Link DIR-300 (nouveau)
  • D-Link DIR-300A (nouveau)
  • D-Link DSR-250N (nouveau)
  • D-Link DSR-500N (nouveau)
  • D-Link DSR-1000 (nouveau)
  • D-Link DSR-1000N (nouveau)
  • Huawei HG8245 (nouveau)
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000 (nouveau)
  • Linksys E3200 (nouveau)
  • Linksys E4200 (nouveau)
  • Linksys RV082 (nouveau)
  • Linksys WRVS4400N
  • Mikrotik CCR1009 (nouveau)
  • Mikrotik CCR1016
  • Mikrotik CCR1036
  • Mikrotik CCR1072
  • Mikrotik CRS109 (nouveau)
  • Mikrotik CRS112 (nouveau)
  • Mikrotik CRS125 (nouveau)
  • Mikrotik RB411 (nouveau)
  • Mikrotik RB450 (nouveau)
  • Mikrotik RB750 (nouveau)
  • Mikrotik RB911 (nouveau)
  • Mikrotik RB921 (nouveau)
  • Mikrotik RB941 (nouveau)
  • Mikrotik RB951 (nouveau)
  • Mikrotik RB952 (nouveau)
  • Mikrotik RB960 (nouveau)
  • Mikrotik RB962 (nouveau)
  • Mikrotik RB1100 (nouveau)
  • Mikrotik RB1200 (nouveau)
  • Mikrotik RB2011 (nouveau)
  • Mikrotik RB3011 (nouveau)
  • Mikrotik RB Groove (nouveau)
  • Mikrotik RB Omnitik (nouveau)
  • Mikrotik STX5 (nouveau)
  • Netgear DG834 (nouveau)
  • Netgear DGN1000 (nouveau)
  • Netgear DGN2200
  • Netgear DGN3500 (nouveau)
  • Netgear FVS318N (nouveau)
  • Netgear MBRN3000 (nouveau)
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200 (nouveau)
  • Netgear WNR4000 (nouveau)
  • Netgear WNDR3700 (nouveau)
  • Netgear WNDR4000 (nouveau)
  • Netgear WNDR4300 (nouveau)
  • Netgear WNDR4300-TN (nouveau)
  • Netgear UTM50 (nouveau)
  • QNAP TS251
  • QNAP TS439 Pro
  • Périphériques NAS QNAP exécutant le logiciel QTS
  • TP-Link R600VPN
  • TP-Link TL-WR741ND (nouveau)
  • TP-Link TL-WR841N (nouveau)
  • Ubiquiti NSM2 (nouveau)
  • Ubiquiti PBE M5 (nouveau)
  • Niveau supérieur: modèles inconnus (nouveau)
  • ZTE ZXHN H108N (nouveau)
  • Si votre routeur est sur cette liste, il serait peut-être temps d'envisager une mise à niveau. Ce sont les recommandations de TechRadar pour les meilleurs routeurs de 2018.