Un botnet de type Mirail est en train de cibler les boîtiers NAS en fin de vie depuis décembre 2023 du fabricant taïwanais Zyxel. La société de cybersécurité Shadowserver prévient que les attaques profitent de la vulnérabilité CVE-2024-29973, d’une criticité de 9,8/10. La faille d’injection de commande consiste en un défaut dans le paramètre « setCookie » des périphériques Zyxel NAS326 and NAS542. Elle permet à une personne non authentifiée d’exécuter du code arbitraire, en envoyant des requêtes HTTP POST forgées spécifiquement. La vulnérabilité a été divulguée au début de ce mois de juin 2024.
Shadowserver a observé plusieurs tentatives d’exécution de commandes à distance par le botnet et conseille de rechercher activement des signes de compromission, en particulier si les correctifs n’ont pas été appliqués immédiatement. Par ailleurs, Zyxel convie les propriétaires de périphériques NAS326 et NAS542 à installer les correctifs aussi vite que possible.
Les périphériques NAS sont les cibles privilégiées des attaques par ransomware. Ce fût notamment le cas des boîtiers QNAP, visés par une vague d’attaques en 2021.