C0XMO botnet spreads via DD-WRT router flaw, kills rival malware
Mis à jour :
C0XMO : Un Botnet Modulaire et Agressif ciblant les Équipements IoT
Le botnet C0XMO, une variante sophistiquée du malware Gafgyt, cible les firmwares DD-WRT ainsi qu’une large gamme de dispositifs (routeurs, DVR, Android) à travers de multiples architectures CPU (ARM, MIPS, x86, etc.). Sa conception modulaire lui permet d’évoluer rapidement et de neutraliser ses concurrents en éliminant les autres malwares présents sur la machine infectée.
Points clés :
- Fonctionnalités : Principalement utilisé pour des attaques DDoS massives (19 méthodes supportées, incluant TCP/UDP/ICMP floods et amplification NTP/Memcached).
- Propagation : Exploite des vulnérabilités connues, réalise des scans réseau aléatoires sur des ports courants et utilise le brute-force sur les accès SSH/Telnet.
- Persistance : S’installe dans des répertoires cachés (
/tmp,/var/tmp,/dev/shm) et assure sa réexécution via des tâches cron et la modification des scripts de démarrage. - Comportement compétitif : Identifie et termine les processus associés à d’autres botnets ou outils de sécurité pour monopoliser les ressources de l’hôte.
Vulnérabilité exploitée :
- CVE-2021-27137 : Vulnérabilité de dépassement de tampon (buffer overflow) permettant l’exécution de code arbitraire sans authentification préalable.
Recommandations :
- Mise à jour : Maintenir systématiquement les firmwares des routeurs et des dispositifs IoT à jour pour corriger les failles connues.
- Gestion des accès : Désactiver les services d’accès distant (Telnet/SSH) s’ils ne sont pas strictement nécessaires.
- Sécurisation : Utiliser des mots de passe administrateur robustes et uniques pour chaque équipement afin de contrer les attaques par force brute.