Mirai et ses variantes continuent d’évoluer

Le botnet Mirai, qui avait fait considérablement parler de lui à l’automne 2016, est loin d’être tombé en désuétude et continue de faire des émules. Les chercheurs de l’unité 42 de Palo Alto Networks indiquent ainsi avoir découvert deux variantes qu’ils considèrent comme remarquables pour deux raisons : « la nouvelle version de Mirai vise la vulnérabilité Apache Struts associée avec la brèche qui a affecté Equifax en 2017 ». Référencée CVE-2017-5686, cette vulnérabilité est corrigée depuis un an et demi, mais manifestement, il reste – sans trop de surprise, hélas – des instances en ligne auxquelles les correctifs n’ont pas été appliqués.

La nouvelle version en question ne se contente bien sûr pas de cela ; elle embarque de quoi exploiter 15 autres vulnérabilités dans tout un éventail de systèmes variés.

Mais il y a également la variante Gafgyt. Celle-ci s’appuie sur un domaine déjà utilisé dans le passé par les opérateurs de Mirai. Son originalité ? Elle cherche à mettre à profit une vulnérabilité présente dans les versions obsolètes sur systèmes d’administration (GMS) de SonicWall – 8.1 et antérieures. Référencée CVE-2018-9866, cette vulnérabilité a fait l’objet de correctifs début août. Les versions 8.2 et ultérieures de SonicWall GMS ne sont pas affectées.

Pour les équipes de Palo Alto Networks, ces évolutions marquent une étape importante : « l’incorporation d’exploits visant Apache Struts et SonicWall par ces botnets IoT / Linux pourraient être une indication d’un mouvement plus large» de déport de l’attention de leurs opérateurs des systèmes grand public vers ceux des entreprises.