Exploitation accrue d’une ancienne faille du routeur EoL ZyXEL

Le malware Gafgyt exploite une faille vieille de cinq ans dans le routeur EoL ZyXEL. Fortinet a émis une alerte avertissant que le malware botnet Gafgyt tente activement d’exploiter une vulnérabilité dans le routeur ZyXEL P660HN-T1A en fin de vie dans des milliers d’attaques quotidiennes. Le logiciel malveillant cible CVE-2017-18368 , une vulnérabilité d’injection de commande non authentifiée de gravité critique (CVSS v3 : 9.8) dans la fonction de transfert du journal système à distance de l’appareil, qui a été corrigée par Zyxel en 2017. La vulnérabilité est due à une erreur lorsque le logiciel vulnérable traite une requête HTTP conçue de manière malveillante. Un attaquant distant peut être en mesure d’exploiter ceci pour exécuter du code arbitraire sur les systèmes affectés.

FortiGuard Labs continue de voir des tentatives d’attaque ciblant la vulnérabilité de 2017 et a bloqué des tentatives d’attaque de plus de milliers d’appareils IPS uniques au cours du mois dernier. Fortinet observe une moyenne de 7 300 attaques par jour tentant d’exploiter la faille depuis juillet 2023.

CVE-2017-18368 : Le routeur ZyXEL P660HN-T1A v1 TCLinux Fw $7.3.15.0 v001 / 3.40(ULM.0)b31 distribué par TrueOnline présente une vulnérabilité d’injection de commande dans la fonction de transfert du journal du système à distance, qui est accessible par un utilisateur non authentifié. La vulnérabilité se trouve dans la page ViewLog.asp et peut être exploitée via le paramètre remote_host.

Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.  Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares. En août 2023, démantèlement de l’infrastructure du réseau de botnet malveillant Qakbot/Qbot.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


ZyXEL Communications est un constructeur taïwanais de modems, adaptateurs ISDN, adaptateurs DSL, commutateurs réseau, routeurs et points d'accès Wi-Fi. Fondé en 1989, ZyXEL compte environ 3 200 employés dans le monde dont 30 % dans le secteur recherche et développement. Selon ZyXEL, "Nous contribuons à votre avantage concurrentiel et à la satisfaction élevée de vos clients grâce à des solutions haut débit innovantes et évolutives, une feuille de route technologique transparente et une présence locale agile."

Fortinet est une multinationale américaine dont le siège social se situe à Sunnyvale. Elle conçoit et commercialise, entre autres, des logiciels, équipements et services de cybersécurité tels que des pare-feux, anti-virus, systèmes de prévention d’intrusion et de sécurité des terminaux. La Fortinet Security Fabric réunit les concepts de convergence et de consolidation afin de fournir une protection complète en matière de cybersécurité pour l'ensemble des utilisateurs, des appareils et des applications, et ce, sur toutes les périphéries de réseau.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.