Modernisé, Mirai s’attaque aux modems routeurs de Deutsche Telekom

Dans la journée de ce lundi 28 novembre, près d’un million de foyers allemands connectés à Internet par le truchement d’un modem SpeedPort, fourni par Deutsche Telekom se sont trouvés dans l’impossibilité de profiter de leur abonnement. Ils ont en fait été victimes d’une attaque visant leur port 7547. Celui-ci est utilisé à des fins de maintenance, par le protocole TR-069. Ce protocole bidirectionnel permet d’assurer la communication entre les équipements abonnés et des serveurs d’auto-configuration déployés chez le fournisseur d’accès à Internet. Deutsche Telekom propose déjà un correctif à ses abonnés.

Mais ceux-ci ne sont pas les seuls concernés. Dans une note d’alerte, l’institut Sans relève que « l’Autriche fait l’objet d’un fort accroissement du trafic TR-069 au cours des dernières 24h. Selon Shodan, il y a encore 53 000 accessibles sur le port 7547 en Autrice. L’essentiel du trafic que nous observons provient d’autres modems DSL d’utilisateurs finaux, dont beaucoup du Brésil ». Mais à travers le monde, il faudrait compter avec rien moins que 41 millions d’appareils ayant ce port ouvert.

Le modem routeur D1000 du fournisseur d’accès à Internet irlandais Eir est également vulnérable. Il fait d’ailleurs en quelque sorte office de patient zéro : un exploit visant cette vulnérabilité et le concernant est disponible depuis le début du mois de novembre. D’autres modems d’Eir sont concernés.

Dans une note d’information, Deutsche Telekom relève que l’incident rencontré par ses clients s’inscrit dans le cadre d’une « attaque mondiale visant les interfaces de maintenance », une opération confirmée par le BSI, l’équivalent allemand de l’Anssi. Celle-ci s’appuierait sur une évolution du désormais célèbre logiciel malveillant Mirai, adapté pour tirer profit de nouveaux exploits.