Objet: Bulletin d’actualité CERTFR-2018-ACT-010

Retour sur VPNFilter

Le 23 mai 2018, l’entreprise de recherche en cybersécurité Cisco Talos a publié un article concernant un code malveillant déployé sur un botnet de 500 000 équipements, situés dans 54 pays, appelé VPNFilter[1]. Ce code malveillant s’attaque aux petits routeurs des marques ZTE, UPVEL, Ubiquiti, Huawei, D-Link, ASUS, Linksys, MikroTik, NETGEAR et TP-Link et aux NAS domestiques de la marque QNAP. VPNFilter est composé de 3 parties, communément appelées stages, distinctes et installées successivement lors de la compromission.

mise à jour du 12 juin 2018 :

• ajout de nouveaux modèles vulnérables et ciblés par le botnet VPNFilter
• précisions sur les second et troisièmes stages (nouveaux modules)
• tentatives de reconstitution du botnet

Synthèse du fonctionnement de VPNFilter selon l’éditeur

Le premier stage est installé au travers de l’exploitation d’une vulnérabilité présente sur le routeur domestique ou le NAS. Chacun des équipements de la liste référencée par Talos fait l’objet de nombreuses vulnérabilités, facilement exploitables du fait de la position frontale des routeurs vis-à-vis d’internet. Par ailleurs, l’application de correctifs de sécurité sur ces équipements peu coûteux et à destination des TPE/PME et particuliers est peu courante. À ce titre, Talos estime que le groupe propriétaire du botnet n’a pas eu besoin de recourir à l’usage de vulnérabilités 0-day.

Le premier stage a pour objectif de rester persistant, c’est à dire de rester exécuté par la machine même après un redémarrage. Cette propriété est singulière dans le domaine des codes malveillants ciblant des équipements disposant de peu d’espace de stockage. Son second objectif est d’obtenir l’adresse IP de son futur serveur de command and control au travers de la récupération de métadonnées d’images hébergées sur internet. Ces images étaient téléchargées depuis le site Photobucket ainsi que sur un domaine de secours. Les autorités américaines ont fait supprimer les images du premier site et récupéré le second domaine, bloquant ainsi toute nouvelle installation d’un second stage pour cette version de VPNFilter[2].

Le second stage, transmis par le serveur de command and control a pour objectif de fournir un jeu de commandes élémentaires et utiles à l’attaquant pour interagir avec l’équipement. Il joue également le rôle de support aux modules de VPNFilter, qui constituent le troisième stage. Cisco Talos a formellement identifié 4 modules :

• un module chargé d’intercepter les communications réseau, plus particulièrement les éléments d’authentification http (logins et mots de passe web), ainsi que tout flux lié au protocole de communication industriel MODBUS ;
• un module de communication TOR ;
• un module permettant d’écraser le microcode de l’équipement puis de le redémarrer, ce qui revient à le rendre inutilisable ;
• un module permettant de réaliser des attaques de type homme du milieu sur le protocole HTTP avec des capacités d’interception, de modification et de désactivation de TLS.

La présence d’un cinquième module, chargé de faire de la reconnaissance sur le réseau local derrière le routeur, est fortement suspectée par l’éditeur.

Contexte de la publication de l’article de Cisco Talos

L’éditeur de sécurité dit avoir précipité sa publication après avoir observé un pic très significatif d’infections les 8 et 17 mai 2018 en Ukraine.

Perspectives générales

Ce cas illustre – une fois de plus – le problème de la maîtrise d’équipements peu coûteux, vulnérables, massivement distribués, très exposés et donc ciblés. Leurs propriétaires sont généralement des particuliers peu à même de détecter l’infection d’un produit qui par ailleurs continue de fonctionner de façon nominale. La propagation de VPNFilter est basée sur de nombreuses vulnérabilités, pour la plupart anciennes. Le démantèlement de ce type de botnet est complexe, de par la multiplicité et l’hétérogénéité de leurs propriétaires, mais aussi parce que les équipements concernés resteront majoritairement vulnérables aux anciennes et futures vulnérabilités les concernant. Des chercheurs en sécurité des équipes de JASK et Greynoise ont par ailleurs constaté que, suite aux actions du FBI, les propriétaires du botnet VPNFilter cherchaient à reconstituer ce dernier en infectant de nouveaux équipements [3], tandis que Talos élargissait le périmètre des modèles ciblés [4].

L’architecture logicielle de VPNFilter est singulière, de par la persistance du premier stage, ainsi que la modularité du troisième stage. En effet, les capacités de ce type de botnet sont généralement limitées à certains types d’attaques (dénis de service distribués, minage de cryptomonnaies …), là ou VPNFilter constitue une infrastructure capable de réaliser n’importe quel type d’opération, en fonction des modules choisis et installés par l’attaquant.

Enfin, l’usage d’un botnet de petits équipements par un acteur de haut niveau constitue également un fait notable. De prime abord opportuniste, cette stratégie s’appuie également sur les contraintes liées au manque de maîtrise et de sécurisation de nombreux équipements disséminés dans le monde, complexifiant l’analyse et l’attribution de la menace.

Équipements concernés et recommandations

Produits Asus :
RT-AC66U (nouveau)
RT-N10 (nouveau)
RT-N10E (nouveau)
RT-N10U (nouveau)
RT-N56U (nouveau)
RT-N66U (nouveau)

Produits D-Link :
DES-1210-08P (nouveau)
DIR-300 (nouveau)
DIR-300A (nouveau)
DSR-250N (nouveau)
DSR-500N (nouveau)
DSR-1000 (nouveau)
DSR-1000N (nouveau)

Produits Huawei :
HG8245 (nouveau)

Produits Linksys :
E1200
E2500
E3000 (nouveau)
E3200 (nouveau)
E4200 (nouveau)
RV082 (nouveau)
WRVS4400N

Produits Mikrotik (résolu dans la version 6.38.5 de RouterOS) :
CCR1009 (nouveau)
CCR1016
CCR1036
CCR1072
CRS109 (nouveau)
CRS112 (nouveau)
CRS125 (nouveau)
RB411 (nouveau)
RB450 (nouveau)
RB750 (nouveau)
RB911 (nouveau)
RB921 (nouveau)
RB941 (nouveau)
RB951 (nouveau)
RB952 (nouveau)
RB960 (nouveau)
RB962 (nouveau)
RB1100 (nouveau)
RB1200 (nouveau)
RB2011 (nouveau)
RB3011 (nouveau)
RB Groove (nouveau)
RB Omnitik (nouveau)
STX5 (nouveau)

Produits Netgear :
DG834 (nouveau)
DGN1000 (nouveau)
DGN2200
DGN3500 (nouveau)
FVS318N (nouveau)
MBRN3000 (nouveau)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (nouveau)
WNR4000 (nouveau)
WNDR3700 (nouveau)
WNDR4000 (nouveau)
WNDR4300 (nouveau)
WNDR4300-TN (nouveau)
UTM50 (nouveau)

Produits QNAP :
TS251
TS439 Pro
Autres NAS QNAP exécutant QTS

Produits TP-Link :
R600VPN
TL-WR741ND (nouveau)
TL-WR841N (nouveau)

Produits Ubiquiti :
NSM2 (nouveau)
PBE M5 (nouveau)

Produits UPVEL :
Unknown Models (nouveau)

Produits ZTE :
ZXHN H108N (nouveau)

Compte tenu de la diversité des produits et des vulnérabilités exploitées, il est conseillé:

• de remettre le micrologiciel du produit en version d’usine, en suivant les instructions du constructeur ;
• de mettre à jour le produit en appliquant l’ensemble des correctifs fournis par son constructeur;
• de changer le mot de passe d’administration par défaut;
• de désactiver l’administration à distance

La neutralisation par les autorités américaines des serveurs permettant de passer du premier stage au second stage permet théoriquement de stopper la propagation de VPNFilter dans sa version actuelle. par ailleurs, le redémarrage d’un équipement déjà compromis supprimera les second et troisième stage du code. Il faut toutefois appliquer les mesures ci-dessus pour éviter toute compromission ultérieure, que ce soit par une éventuelle variante de VPNFilter ou par un autre code exploitant les vulnérabilités présentes sur le produit.

Documentation

1. article de blog de Cisco Talos
   https://blog.talosintelligence.com/2018/05/VPNFilter.html
2. communication du département américain de la justice à propos des actions de démantèlement du botnet VPNFilter
   https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected
3. article de Jask évoquant un nouveau pic d’infection d’équipements au profit de VPNFilter
   https://jask.com/from-russia-with-love/
4. second article de blog de Cisco Talos
   https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

Rappel des avis émis

Dans la période du 14 au 20 mai 2018, le CERT-FR a émis les publications suivantes :

• CERTFR-2018-ALE-007 : Multiples vulnérabilités dans S/MIME et OpenPGP
• CERTFR-2018-AVI-232 : Multiples vulnérabilités dans le noyau Linux de SUSE
• CERTFR-2018-AVI-233 : Multiples vulnérabilités dans Adobe Reader et Acrobat
• CERTFR-2018-AVI-234 : Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway
• CERTFR-2018-AVI-235 : Vulnérabilité dans SCADA Siemens SIMATIC
• CERTFR-2018-AVI-236 : Vulnérabilité dans VMware NSX SD-WAN
• CERTFR-2018-AVI-237 : Multiples vulnérabilités dans Tenable Nessus
• CERTFR-2018-AVI-238 : Vulnérabilité dans le client DHCP de RedHat
• CERTFR-2018-AVI-239 : Multiples vulnérabilités dans les produits Fortinet
• CERTFR-2018-AVI-240 : Multiples vulnérabilités dans les produits Cisco
• CERTFR-2018-AVI-241 : Multiples vulnérabilités dans le noyau Linux de SUSE