Une nouvelle variante du botnet Mirai cible les appareils ZyXEL

Une nouvelle variante de Mirai a vu le jour et cible les appareils ZyXEL. Mirai est un botnet géant formé de plusieurs bots et de plusieurs serveurs de contrôle. Ainsi, il peut être utilisé pour initier de multiples attaques de façon simultanée, chacune orchestrée par un serveur de contrôle différent. Il est également connu pour sa possibilité d'être loué à des criminels pour lancer des attaques de déni de service de grande ampleur. Une des attaques liée à Mirai est celle mené contre Dyn, un serveur racine du système DNS, provoquant un déni de service de grande ampleur sur plusieurs sites web mondialement connus.

Cette variante cible principalement les appareils ZyXEL et scanne les ports 23 et 2323 utilisés par Telnet sur ces appareils à partir d’adresses IP localisées en Argentine. Elle tente ainsi d’utiliser les mots de passe par défaut des appareils pour se connecter à ces derniers. Pour certains appareils de ZyXEL, cette variante utilise également la vulnérabilité référencée par la CVE CVE-2016-10401 qui permet d’obtenir un accès privilégié grâce à un mot de passe programmé en dur dans l'équipement.

Pour se protéger contre ce genre de malware, il est indispensable de changer tous les mots de passe par défaut et de mettre à jour tous les produits utilisés à la dernière version disponible. Il est aussi recommandé de surveiller le trafic pour détecter tout flux suspect à destination des équipements visés.