Routeurs attaqués : comment les entreprises peuvent protéger leur passerelle vers Internet

Par Phil Muncaster • 12 November 2024

Les modems et les routeurs ne sont pas les technologies connectées les plus glamour. En fait, leur omniprésence fait que la plupart des entreprises oublient même leur présence. Cependant, ils remplissent également une fonction essentielle en permettant aux appareils et machines en réseau d'accéder à l'Internet public. Sans eux, la plupart des entreprises auraient du mal à fonctionner.

Mais en raison de leur emplacement à la périphérie du réseau, les routeurs sont également une cible de plus en plus populaire. Le fait que beaucoup d'entre eux soient criblés de vulnérabilités et ne soient pas mis à jour aussi fréquemment que d'autres appareils critiques n'arrange rien. rapport de Forescout publié en octobre, il met en garde contre 14 nouvelles failles de firmware dans les routeurs DrayTek.

Il est temps de prendre au sérieux la protection des routeurs d’entreprise.

Quel est le problème avec DrayTek ?

Selon Forescout, deux des 14 nouvelles vulnérabilités découvertes dans les routeurs du fabricant taïwanais sont considérées comme critiques : CVE-2024-41592 a un score CVSS maximum de 10, tandis que CVE-2024-41585 reçoit un score de 9.1.

Le premier est un dépassement de tampon dans la fonction GetCGI() de l'interface utilisateur Web de DrayTek VigorConnect. Il pourrait apparemment être déclenché par une chaîne de requête spécialement conçue et excessivement longue vers l'une des 40 pages CGI de l'interface utilisateur Web. Cela pourrait à son tour être utilisé pour obtenir un déni de service ou, s'il est associé au bogue d'injection de commande du système d'exploitation CVE-2024-41585, pour obtenir un accès root à distance au système d'exploitation hôte sous-jacent.

C'est potentiellement beaucoup plus grave, car cela fournirait à un attaquant les « clés du royaume » – permettant un contrôle à distance complet du routeur ciblé et, en se déplaçant latéralement, d'autres appareils sur le même réseau, explique Forescout.

La popularité des routeurs DrayTek à l'échelle mondiale met en évidence les défis auxquels sont confrontés les défenseurs des réseaux et les opportunités qu'ils représentent pour les acteurs malveillants. Selon Forescout, plus de 704,000 425,000 routeurs étaient exposés à Internet – et donc susceptibles d'être exploités – au moment de la rédaction du rapport, dont XNUMX XNUMX au Royaume-Uni et dans l'UE. La plupart sont apparemment destinés à un usage professionnel.

DrayTek avait corrigé toutes les vulnérabilités du firmware au moment de la publication du rapport. Pourtant, rien ne garantit que les clients appliqueront les mises à jour avant d'éventuelles tentatives d'exploitation. Le fournisseur n'est en aucun cas le seul fabricant dont les produits risquent d'être compromis. En septembre, un comité consultatif conjoint Des enquêtes menées par plusieurs agences de sécurité Five Eyes ont révélé l'existence d'un botnet massif de 260,000 XNUMX appareils piratés, notamment des routeurs de MikroTik, Ubiquiti, Telesquare, Telstra, Cisco et NetGear.

Pourquoi des routeurs ?

Les modems et les routeurs sont clairement une cible privilégiée pour les acteurs malveillants. En effet, ils :

Sont souvent criblés de vulnérabilités non corrigées qui pourraient être exploitées
Ils sont souvent utilisés par des PME disposant de moins de ressources et de savoir-faire en matière de sécurité, ce qui peut exposer les routeurs.
Ils sont faciles à analyser à distance pour les pirates informatiques
Ne peut être protégé que par les informations d'identification par défaut d'usine
Fournit une passerelle vers d'autres appareils sur le même réseau et pourrait donc être utilisé comme vecteur d'accès initial pour les ransomwares et le vol de données
Ils peuvent être détournés et utilisés comme bots dans un botnet plus vaste pour lancer des attaques DDoS sur d'autres ou pour masquer des campagnes de menaces plus sophistiquées.
Pourrait être réutilisé comme serveurs de commande et de contrôle (s'il s'agit de routeurs hautes performances)

Les appareils en fin de vie ou en fin de commercialisation sont particulièrement exposés, car les correctifs/mises à jour peuvent ne pas être disponibles auprès du fournisseur. Forescout affirme que 11 des 24 modèles DrayTek concernés répertoriés dans son étude étaient soit en fin de vie, soit en fin de commercialisation. Même si des correctifs peuvent être appliqués, ils ne le sont souvent pas. Près des deux cinquièmes (40 %) des appareils mentionnés dans le rapport sont toujours vulnérables à des failles similaires identifiées deux ans auparavant, selon Forescout.

« Les routeurs peuvent permettre l'accès, voire le contrôle, aux actifs du réseau d'une organisation. En tant que squelettes des réseaux et des sous-réseaux qu'ils forment, ils constituent une ressource formidable pour un attaquant souhaitant infecter », explique Adam Brown, consultant en gestion de la sécurité chez Black Duck Software, à ISMS.online.

« De plus, ils sont administrés par des individus dotés des plus hauts niveaux de sécurité, qui, s’ils sont piratés, donnent aux mauvais acteurs les clés du royaume. »

Il ne s’agit pas d’une menace théorique. Outre la campagne de menaces massives chinoises évoquée ci-dessus, nous pouvons souligner les éléments suivants :

Volt Typhoon : Un groupe APT soutenu par l'État chinois qui a exploité des vulnérabilités zero-day dans des équipements réseau connectés à Internet, comme des routeurs, pour compromettre des réseaux d'infrastructures critiques d'importance stratégique aux États-Unis. L'objectif final, selon la Cybersecurity and Infrastructure Security Agency (CISA), était d'être prêt à lancer des attaques destructrices en cas de conflit militaire.

Technologie noire : Un autre groupe APT d'État chinois a ciblé plusieurs organisations aux États-Unis et au Japon. Il a ciblé des routeurs mal protégés dans des succursales, permettant aux attaquants de se fondre dans le trafic normal alors qu'ils se tournaient vers d'autres appareils au siège social de l'entreprise. Dans certains cas, les adversaires ont obtenu des droits d'administrateur, leur permettant de remplacer le micrologiciel des routeurs et/ou de désactiver la journalisation pour masquer leurs traces.

Cyclops Blink et VPNFilter:Deux campagnes sophistiquées menées sur plusieurs années par le groupe russe Sandworm, qui ciblaient les routeurs et autres périphériques réseau des petites entreprises et des bureaux à domicile (SOHO). Déploiement du malware éponyme a été décrit comme « aveugle et généralisée », ce qui a conduit les observateurs à spéculer que le but était de créer des botnets capables de lancer des campagnes de menaces sur d’autres cibles.

APT28/Ours fantaisie : Un groupe de menaces russes prolifiques a ciblé les routeurs EdgeRouters d'Ubiquiti dans le cadre d'une campagne plus large visant à « faciliter les opérations cybernétiques malveillantes dans le monde entier » - notamment en hébergeant des pages de spear phishing et des outils d'attaque personnalisés.

Comment atténuer la menace

Certains législateurs américains souhaitent enquêter sur les routeurs fabriqués en Chine afin de tenter d'atténuer la menace de cyberespionnage de Pékin. Mais cela ne résoudra en rien le problème des routeurs fabriqués ailleurs qui sont piratés par le vol ou la force brute d'identifiants ou l'exploitation de vulnérabilités. Alors, comment les entreprises peuvent-elles mieux protéger leurs routeurs ? Certaines bonnes pratiques peuvent aider.

Un excellent point de départ est une cyberhygiène éprouvée, comme :

Mise à jour régulière du firmware dès que des mises à jour sont disponibles, en utilisant des canaux de mise à jour automatisés lorsque cela est possible
Remplacer les mots de passe par défaut par des informations d'identification fortes et uniques
Désactiver les services et ports inutilisés comme UPnP, la gestion à distance, le partage de fichiers, etc.
Remplacement rapide du kit EoL pour assurer une protection maximale contre l'exploitation.

Brown, de Black Duck Software, ajoute que les approches de sécurité Zero Trust aideraient également les organisations à atténuer les risques de sécurité des routeurs, tels que la surveillance du réseau pour les volumes de trafic inhabituels et la segmentation, ainsi que les politiques d'accès au moindre privilège.

« L’architecture de sécurité doit être prise en compte lors du déploiement des réseaux, et donc des routeurs, en veillant à ce que l’accès aux consoles des routeurs soit doté de contrôles de sécurité appropriés », ajoute-t-il. « Les zones de confiance du réseau doivent être prises en compte, et une approche Zero Trust de l’architecture à tous les niveaux contribuera à limiter le rayon d’action en cas d’incident. »

Comme le montrent les exemples ci-dessus, de puissants groupes soutenus par des États ainsi que des entités de cybercriminalité sophistiquées cherchent à exploiter les failles de sécurité pour pirater les routeurs et les réseaux qu'ils chevauchent. Les PME étant dans le collimateur, il est temps de combler cette lacune critique en matière de sécurité.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster