Un nouveau botnet redoutable exploite 20 vulnérabilités pour infecter des milliers d’appareils !
Des chercheurs en sécurité ont identifié Gayfemboy, un nouveau botnet basé sur le célèbre Mirai, qui exploite plus de 20 failles de sécurité différentes pour se propager sur les appareils du monde entier. Faisons le point.
Un nouveau rapport publié par les chercheurs en sécurité de Chainxin X Lab met en lumière la propagation rapide du botnet Gayfemboy, notamment sur les routeurs et les objets connectés à Internet.
Les premiers signes d'activité de ce botnet remontent à l'année dernière et son réseau est constitué d'au moins 15 000 appareils actifs, principalement situés en Chine, aux États-Unis, en Russie, en Turquie et en Iran. Mais, l'activité de ce botnet n'est pas limitée à ces quelques pays.
Quels sont les appareils ciblés ? Comment s'effectue la propagation ?
Il cible les appareils de plusieurs marques, dont les routeurs Asus, LB-Link (CVE-2023-26801), Huawei (CVE-2017-17215) ainsi que Four-Faith et Neterbit. Les objets connectés de chez Vimar, des caméras, et des enregistreurs DVR (Kguard, Lilin et d'autres marques) sont aussi ciblés par ce botnet.
Pour prendre le contrôle de ces appareils, Gayfemboy exploite un ensemble de faille de sécurité zero-day, c'est-à-dire des vulnérabilités non corrigées par les éditeurs. Une aubaine pour les cybercriminels, notamment lorsqu'il s'agit d'appareils exposés sur Internet, comme c'est le cas des routeurs.
Au total, ce botnet exploiterait 20 vulnérabilités différentes. Nous pouvons notamment évoquer la CVE-2024-12856, une vulnérabilité présente dans les routeurs Four-Faith qui a été a découverte à la fin du mois de décembre, alors qu'elle était déjà exploitée par Gayfemboy.
En complément, il utilise d'autres techniques comme les attaques brute force pour tenter de compromettre les appareils.
L'objectif de ce botnet : lancer des attaques DDoS
Comme bien souvent, ce botnet a pour objectif d'être utilisé pour lancer des attaques par déni de service distribué (DDoS). La carte publiée par Chainxin X Lab montre que les cibles sont situées dans le monde entier. "Les cibles des attaques sont réparties dans le monde entier et dans différents secteurs d'activité", peut-on lire.
Les chercheurs en sécurité indiquent que les attaques DDoS du botnet sont de courte durée, de l'ordre de 10 à 30 secondes, mais de forte intensité (plus de 100 Gbps de trafic). Ces attaques peuvent donc être à l'origine de perturbation au niveau de l'infrastructure ciblée. À ce jour, le pic d'attaques a été identifié entre octobre et novembre 2024.
Encore une fois, cette menace montre l'importance d'effectuer un suivi régulier pour maintenir à jour ses appareils, et de limiter les appareils exposés sur Internet.
