Un botnet d’un genre nouveau
Les chercheurs en sécurité de Fortinet ont mis au jour C0XMO, une variante inédite du célèbre botnet Gafgyt. Ce programme malveillant cible spécifiquement les routeurs fonctionnant sous DD-WRT, un firmware alternatif très répandu sur les appareils anciens ou recyclés. L’infection repose sur une vulnérabilité décrite sous la référence CVE-2021-27137, qui affecte les versions de DD-WRT antérieures au change set 45723. Il s’agit d’un débordement de tampon dans le service UPnP : un paquet malveillant envoyé sur le port UDP 1900 permet à un attaquant distant d’exécuter du code sans nécessiter d’authentification. Bien que corrigée depuis plusieurs années, cette faille reste exploitable sur tous les appareils qui n’ont jamais été mis à jour.
Un mode opératoire agressif
L’originalité de C0XMO réside dans sa volonté de verrouiller l’accès à la machine compromise. Dès qu’il parvient à s’installer, le malware examine les processus actifs à la recherche de signes d’autres botnets, d’outils de test d’intrusion ou de tout programme susceptible d’entraver son fonctionnement. Il supprime alors les binaires rivaux, désactive leurs tâches planifiées, leurs scripts d’initialisation et leurs profils shell. Pour éviter d’être lui-même délogé, il se réinstalle automatiquement toutes les quinze minutes via une tâche cron. Ce comportement, jugé plus sophistiqué que celui du Gafgyt classique, vise à faire de l’appareil une ressource exclusive au service d’un réseau d’attaque par déni de service distribué (DDoS).
Propagation multi‑architecture
C0XMO ne se limite pas aux routeurs. Une fois installé sur un premier équipement, il déploie un module de propagation qui scrute le réseau à la recherche d’autres appareils accessibles via SSH ou Telnet. Il teste des identifiants faibles, identifie le type de processeur de la cible (ARM, MIPS, PowerPC, SuperH, x86 ou x86_64), puis récupère un binaire adapté. Les chercheurs ont ainsi observé des échantillons capables d’infecter des enregistreurs vidéo (DVR), des plateformes de vidéosurveillance, des appareils sous Android et d’autres objets connectés. Ce caractère modulaire permet d’ajouter de nouvelles méthodes d’exploitation sans remanier l’ensemble de la chaîne d’infection.
19 méthodes d’attaque DDoS
Le but final de C0XMO est de grossir un réseau de machines zombies capables de lancer des attaques DDoS. Le botnet embarque dix‑neuf techniques de déni de service, allant des inondations classiques UDP, TCP, SYN et ICMP aux amplifications via NTP et Memcached, jusqu’à des floods spécifiques visant les serveurs vocaux de Discord. Bien que ses capacités soient inférieures aux records récents (plusieurs térabits par seconde), ce type d’outil alimente un écosystème où des attaques de plusieurs centaines de gigabits sont monnaie courante.
Quels appareils sont concernés ?
Tous les routeurs équipés d’une version de DD-WRT antérieure à la révision 45723 sont vulnérables. Les appareils Buffalo livrés d’origine avec DD-WRT sont également dans le collimateur. De nombreux utilisateurs ont flashé un vieux routeur (comme le célèbre WRT54GL) pour lui donner une seconde vie en point d’accès ou en répéteur Wi‑Fi. Tant que ces engins restent connectés en permanence et ne reçoivent pas de mise à jour, ils constituent des cibles idéales pour C0XMO. Les experts recommandent de mettre à jour le firmware vers la dernière version disponible et, si l’UPnP n’est pas indispensable, de désactiver ce service.
Un problème récurrent
Cette nouvelle menace rappelle que les vulnérabilités liées à UPnP ne datent pas d’hier. Des travaux antérieurs ont déjà mis en évidence des dizaines de millions d’appareils exposés en raison de failles dans ce protocole. Le parc de routeurs oubliés, revendus ou simplement laissés sous un meuble en fonctionnement ininterrompu représente un réservoir que les botnets comme C0XMO continuent d’exploiter. La détection par Fortinet rappelle l’importance de maintenir à jour tout équipement connecté, même ceux qui semblent anodins.
