Numéro : AL16-018
Date : Le 14 octobre 2016
Objet
Cette alerte vise à attirer l’attention sur une possible exploitation des identifiants par défauts des équipements Sierra Wireless.
Évaluation
Le CCRIC est au courant d’une possible utilisation des identifiants par défauts des équipements Sierra Wireless par le maliciel « Mirai » pour effectuer des activités de Déni de Service distribuées. Le maliciel pourrait accéder à la passerelle Cellulaire Airlink accessible de l’internet en utilisant les identifiants par défaut de ACEManager. En utilisant la fonction de mise-à-jour du micrologiciel, le maliciel est en mesure de s’exécuter.
Dès que le maliciel est en fonction sur la passerelle, il se supprime mais réside en mémoire.
Un trafic anormal sur les ports TCP 23 et 48101 et un trafic substantiel en sortie sont des indicateurs forts de la présence du maliciel. Le port 23 est utilisé par le maliciel pour effectuer un balayage afin d’identifier d’autres appareils vulnérable, tandis que le port 48101 est utilisé pour le trafic de commandes et contrôles.
Produits Sierra Affectés : LS300, GX400, GX/ES440, GX/ES450 and RV50.
Mesures Recommandées
Le vendeur suggère fortement que les clients suivent ces étapes pour chacune de leurs passerelles :
- Effectuer un redémarrage de la passerelle pour éliminer la possibilité d’un maliciel contenu en mémoire.
- Émettre un mot de passe sécuritaire et unique pour le ACEmanager
Références :