Votre routeur domestique basé sur Linux pourrait succomber à un nouveau ver Telnet, Remaiten

La construction de réseaux de zombies composés de routeurs, de modems, de points d'accès sans fil et d'autres périphériques réseau ne nécessite pas d'exploits sophistiqués. Remaiten, un nouveau ver qui infecte les systèmes embarqués, se propage en tirant parti des mots de passe Telnet faibles.

Remaiten est la dernière incarnation de robots Linux de déni de service distribués conçus pour les architectures intégrées. Ses auteurs l'appellent en fait KTN-Remastered, où KTN représente très probablement un bot Linux connu appelé Kaiten.

Lors de la recherche de nouvelles victimes, Remaiten essaie de se connecter à des adresses IP aléatoires sur le port 23 (Telnet) et si la connexion réussit, il tente de s'authentifier à l'aide de combinaisons de nom d'utilisateur et de mot de passe à partir d'une liste d'informations d'identification couramment utilisées, ont déclaré des chercheurs d'ESET dans un article de blog.

Si l'authentification réussit, le bot exécute plusieurs commandes pour déterminer l'architecture du système. Il transfère ensuite un petit programme de téléchargement compilé pour cette architecture qui procède au téléchargement du bot complet à partir d'un serveur de commande et de contrôle.

Le malware a des versions pour mips, mipsel, armeabi et armebeabi. Une fois installé, il se connecte à un canal IRC (Internet Relay Chat) et attend les commandes des attaquants.

Le bot prend en charge une variété de commandes pour lancer différents types d'attaques par déni de service. Il peut également rechercher des robots DDoS concurrents sur le même système et les désinstaller.

Il est surprenant que de nombreux périphériques réseau utilisent toujours Telnet pour la gestion à distance, au lieu du protocole SSH plus sécurisé. Il est également regrettable que de nombreux appareils soient livrés avec le service Telnet ouvert par défaut.

Les propriétaires de périphériques doivent utiliser l'un des nombreux outils de numérisation de port en ligne gratuits pour vérifier si leur routeur a le port 23 ouvert et doivent essayer d'arrêter le service Telnet à partir de l'interface d'administration Web du périphérique. Malheureusement, de nombreux dispositifs de passerelle fournis par les FAI à leurs clients ne donnent pas aux utilisateurs un accès complet aux fonctionnalités de gestion.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.