DoubleDoor : un nouveau botnet ciblant les objets connectés

Un nouveau botnet ciblant les objets connectés (IoT) a été découvert par NewSky Security. Le botnet, dénommé DoubleDoor exploite activement deux vulnérabilités :

  • CVE-2015-7755 : une vulnérabilité impactant SE Juniper Networks SmartScreen ;
  • CVE-2016-10401 : une vulnérabilité impactant le modem Zyxel.

Le botnet exploite tout d’abord la vulnérabilité sur Juniper Networks afin d’outrepasser l'authentification sur le pare-feu : une porte dérobée est alors créée permettant l’accès aux services Telnet et SSH des pare-feux.

Ensuite, le botnet tente de déployer une porte dérobée sur les périphériques Zyxel PK5001Z en exploitant la deuxième vulnérabilité.

Le botnet est actuellement dans une phase préliminaire, avec des attaques observées uniquement entre le 18 janvier et le 27 janvier 2018. La plupart des attaques provenaient d’IP sud-coréennes.

Le risque associé reste faible. En effet, l’environnement ciblé doit disposer d’une version non corrigée du pare-feu Juniper ScreenOS ou de modems Zyxel vulnérables.