En bref

  • C0XMO, nouvelle variante du botnet Gafgyt, exploite activement CVE-2021-27137 sur les routeurs DD-WRT pour constituer un réseau DDoS multi-architectures
  • Routeurs DD-WRT, DVR, systèmes de vidéosurveillance et appareils Android vulnérables — architectures ARM, MIPS, PowerPC, SuperH, x86 et x86_64 ciblées
  • Mise à jour du firmware DD-WRT en urgence, désactivation UPnP/SSDP si non nécessaire

Les faits

Les chercheurs de FortiGuard Labs ont publié le 7 juin 2026 une analyse détaillée d'une nouvelle variante du botnet Gafgyt, baptisée C0XMO, découverte en mars 2026 et désormais en phase d'exploitation active à grande échelle. Cette souche se distingue par sa capacité à cibler simultanément six architectures de processeurs différentes et à intégrer une fonctionnalité inédite : l'élimination active des botnets concurrents présents sur les machines compromises.

Le vecteur d'entrée principal repose sur l'exploitation de CVE-2021-27137, un dépassement de tampon dans le service UPnP/SSDP du firmware DD-WRT. La vulnérabilité est présente dans le parseur SSDP et déclenchée par l'envoi d'une requête M-SEARCH UDP sur le port 1900 contenant une valeur ST:uuid: surdimensionnée. L'exploitation ne requiert aucune authentification préalable et aboutit à une exécution de code arbitraire à distance sur le routeur cible.

Une fois la machine compromise, C0XMO établit sa persistance via une tâche cron s'exécutant toutes les 15 minutes. Les binaires malveillants sont déposés dans des répertoires temporaires en mémoire — /tmp/.sys, /var/tmp/.sys, /dev/shm/.sys — pour éviter la détection lors des scans sur stockage permanent. La propagation latérale s'opère ensuite par force brute des identifiants Telnet et SSH faibles, une technique classique des variantes Gafgyt depuis 2014.

L'architecture modulaire de C0XMO représente une évolution notable. Chaque module d'exploitation est compilé et maintenu indépendamment pour chaque architecture cible, permettant aux opérateurs de mettre à jour sélectivement les composants sans redéployer l'ensemble du botnet. Cette approche réduit la surface de détection et accélère les cycles de mise à jour des exploits.

L'arsenal DDoS embarqué compte 19 méthodes d'attaque distinctes, couvrant les floods UDP, TCP SYN, ICMP, et diverses techniques d'amplification utilisant des protocoles légitimes comme NTP, DNS et SSDP. Cette diversité permet aux opérateurs de contourner les contre-mesures DDoS volumétriques classiques en changeant de vecteur d'attaque en temps réel.

Particulièrement notable est la fonctionnalité de "kill rival" intégrée au malware. À l'issue de la compromission, C0XMO analyse les processus en cours, identifie les signatures d'autres familles de botnets connues (Mirai, Mozi, Tsunami, Bashlite), les termine et supprime leurs mécanismes de persistance. Ce comportement vise à monopoliser les ressources des machines compromises et à éliminer la compétition dans l'écosystème cybercriminel de location de capacités DDoS.

La campagne touche des équipements dans de nombreux pays, avec une concentration notable en Europe de l'Est, en Asie du Sud-Est et en Amérique latine. Les enregistrements de commande et contrôle (C2) identifiés pointent vers une infrastructure opérée depuis plusieurs pays, rendant la neutralisation juridique complexe. FortiGuard Labs a corrélé C0XMO avec une série d'attaques DDoS volumétriques documentées entre mars et juin 2026 contre des cibles dans les secteurs du jeu en ligne, des télécommunications et des infrastructures cloud.

Il convient de souligner que CVE-2021-27137 date de 2021 : cinq ans après sa divulgation publique, des milliers de routeurs DD-WRT non patchés restent exposés à Internet, illustrant le défi persistant de la mise à jour des équipements réseau grand public et professionnels d'entrée de gamme. FortiGuard Labs estime à plusieurs dizaines de milliers le nombre d'appareils potentiellement vulnérables accessibles depuis l'Internet public.

Impact et exposition

L'exposition concerne en premier lieu les déploiements de routeurs DD-WRT avec le service UPnP/SSDP activé et exposé sur l'interface WAN. Les environnements les plus touchés sont les PME, les infrastructures résidentielles et les déploiements IoT industriels légers. Les DVR et systèmes de vidéosurveillance utilisant des stacks dérivées de DD-WRT sont également dans le périmètre. Les victimes secondaires des attaques DDoS sont potentiellement toute organisation accessible sur Internet, les capacités d'amplification permettant à un botnet de taille modeste de générer des flux de plusieurs centaines de Gbps.

Recommandations

  • Mettre à jour le firmware DD-WRT vers la version la plus récente intégrant le correctif CVE-2021-27137
  • Désactiver immédiatement le service UPnP/SSDP sur l'interface WAN si cette fonctionnalité n'est pas strictement nécessaire
  • Changer tous les identifiants SSH/Telnet par défaut sur les équipements réseau et désactiver Telnet au profit de SSH avec clés
  • Bloquer le port UDP 1900 en entrée au niveau du pare-feu périmétrique
  • Auditer l'inventaire des équipements réseau exposés à Internet pour identifier les instances DD-WRT accessibles
  • Surveiller les connexions sortantes inhabituelles depuis les routeurs et équipements IoT

Mon routeur DD-WRT est-il vulnérable à CVE-2021-27137 si UPnP est désactivé ?

Si le service UPnP/SSDP est désactivé sur l'interface WAN, l'exposition à CVE-2021-27137 est fortement réduite pour ce vecteur d'entrée spécifique. Cependant, certaines configurations DD-WRT exposent le service SSDP sur l'interface LAN par défaut, ce qui peut créer un vecteur latéral si un autre appareil du réseau local est déjà compromis. La mise à jour du firmware reste la seule mitigation complète et recommandée.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit