Une nouvelle variante du malware Mirai surnommée « Okiku/Satori » exploite une vulnérabilité sur des routeurs Huawei pour se propager

Des chercheurs ont identifié une vulnérabilité dans un modèle de routeur domestique Huawei qui est exploité par des attaquants pour propager une variante du logiciel malveillant Mirai appelé Okiku, également connu sous le nom de Satori qui a été identifié pour la première fois par des chercheurs de CheckPoint le 23 novembre. Les chercheurs de CheckPoint ont publié un rapport le 21 Décembre après avoir observé une vague d'attaques dans le monde entier contre les appareils Huawei HG532. Les Etats-Unis, l'Italie, l'Allemagne et l'Egypte étant les plus durement touchés.

Les chercheurs ont déclaré que dès que les résultats ont été confirmés, la vulnérabilité a été discrètement divulguée à Huawei afin d'atténuer la propagation. Huawei, à son tour, a publié un avis de sécurité avertissant de la vulnérabilité (CVE-2017-17215) et a indiqué à ses clients que la faille permettait à un attaquant distant d'envoyer des paquets malveillants au port 37215 pour exécuter du code à distance sur les routeurs vulnérables.

L'attaque via Okiku/Satori implique une injection de commande, où la charge utile malveillante est téléchargée et exécutée sur le routeur Huawei. La faille est liée à l'utilisation du protocole Universal Plug and Play (UPnP) et à la norme TR-064 utilisée par les routeurs affectés. TR-064 est une norme conçue pour faciliter l'ajout de périphériques UPnP à un réseau local.

La vulnérabilité permet aux administrateurs distants d'exécuter des commandes arbitraires en injectant des méta-caractères dans le processus DeviceUpgrade.

Selon Huawei, la mise en place de protections contre ces attaques inclut la configuration du pare-feu intégré du routeur et la modification du mot de passe par défaut.