En semaine 44, les adresses IP à l’origine de la majorité de l’activité réseau malveillante sur les honeypots sont enregistrées aux Pays-Bas (24,53%), aux Etats-Unis (19,75%), en Chine (9,78%), en Bulgarie (8,38%) et en Russie (6,8%).
Cette semaine, TEHTRIS évoque 2 activités malveillantes observées sur son réseau de honeypots déployé à l’international.
1. Abus des identifiants sur le protocole de transfert de fichier (FTP)
Cette semaine, TEHTRIS a observé un nombre important d’attaques SSH concernant le File Transfer Protocol (protocole de transfert de fichier – FTP) réalisées par 18 adresses IP différentes. Des acteurs malveillants ont scanné nos honeypots en utilisant le login « ftpuser » en le combinant avec 58 mots de passe différents. Le même nombre de combinaisons a été observé en utilisant le login « ftp ».
IoCs :
| IP | AS | Pays |
| 63.143.127[.]250 | AS 33576 ( DIG001 ) | JM |
| 153.122.21[.]26 | AS 131921 ( GMO GlobalSign Holdings K.K. ) | JP |
| 45.95.55[.]28 | AS 200303 ( LUMASERV Systems ) | DE |
| 171.251.16[.]198 | AS 7552 ( Viettel Group ) | VN |
| 193.47.61[.]212 | AS 211252 ( Delis LLC ) | US |
| 116.105.209[.]180 | AS 24086 ( Viettel Corporation ) | VN |
| 85.31.46[.]66 | AS 211252 ( Delis LLC ) | US |
| 162.241.189[.]135 | AS 19871 ( NETWORK-SOLUTIONS-HOSTING ) | US |
| 165.90.105[.]105 | AS 37517 ( CV-Multimedia ) | CV |
| 189.215.82[.]40 | AS 28509 ( Cablemas Telecomunicaciones SA de CV ) | MX |
| 116.105.209[.]180 | AS 24086 ( Viettel Corporation ) | VN |
| 122.202.44[.]19 | AS 10175 ( Kumho Cable ) | KR |
| 165.90.116[.]21 | AS 37517 ( CV-Multimedia ) | CV |
| 178.219.126[.]129 | AS 202281 ( C3 NET Sp. z o.o. Sp. k. ) | PL |
| 181.118.101[.]254 | AS 28075 ( ARLINK S.A. ) | AR |
| 182.16.184[.]3 | AS 17995 ( PT iForte Global Internet ) | ID |
| 188.244.32[.]137 | AS 8334 ( LLC SETEL ) | RU |
| 197.255.131[.]152 | AS 37517 ( CV-Multimedia ) | CV |
TEHTRIS rappelle que le FTP n’est pas un protocole d’échange sécurisé car il n’implique pas de chiffrement. Les données envoyées via FTP sont ainsi vulnérables à l’espionnage, au vol ainsi qu’au détournement de l’identité numérique et aux attaques par force brute. Dans le cas observé par TEHTRIS sur son réseau de honeypots, les attaquants tentent de compromettre des comptes créés avec des mots de passe basiques et peu sécurisés.
Pour calculer la « force » de vos mots de passe avec l’ANSSI : https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
TEHTRIS recommande d’utiliser des protocoles qui garantissent le chiffrement des échanges et de toujours utiliser des mots de passe robustes et uniques.
2. Des Easter Eggs détournés dans PHP
Depuis déjà de nombreuses années, des « Easter Eggs » (œufs de Pâques en français, qui désignent des fonctions cachées en langage informatique) sont créés et insérés au sein d’un programme, ou d’un jeu vidéo, par les créateurs. Ils sont considérés comme des clins d’œil, des références cachées ou encore des plaisanteries.
Cette semaine, TEHTRIS alerte que ces blagues pourraient être détournées. En effet, TEHTRIS a observé l’utilisation de deux URLs sur son réseau de honeypots WEB permettant d’afficher des Easter Eggs concernant le langage de programmation PHP. Ces Easter Eggs, qui existent depuis 2004, ont pour objectif principal l’affichage d’images amusantes. Mais au-delà de la blague, ces requêtes peuvent s’avérer dangereuses. En effet, toute personne naviguant sur un site écrit en PHP peut ajouter à la suite de l’URL une de ces requêtes pour obtenir des informations :
/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000ou
/?=PHPE9568F36-D428-11d2-A769-00AA001ACF42La première URL va afficher les crédits PHP, et la seconde des logos funs en fonction de la version PHP utilisée sur le site. Toutes les versions sont concernées (cf. liste en image). A première vue, cela pourrait paraître inoffensif. Toutefois, les crédits et le logo PHP vont révéler des informations sur l’environnement du site. Un attaquant malveillant pourrait en extirper la version utilisée du langage PHP pour ensuite trouver une faille de sécurité ou une vulnérabilité associée à cette version. Il pourra ainsi compromettre le site.
TEHTRIS recommande de s’assurer que, dans votre fichier php.ini, la ligne suivante est bien configurée pour éviter d’exposer vos informations :
expose_php = offMoins il y a d’informations exposées publiquement sur votre serveur, moins il sera sujet aux tentatives d’attaques. Veillez donc à maîtriser et limiter les informations que vous exposez. Les attaquants continuent activement de rechercher des failles sur le langage PHP en utilisant ces 2 requêtes URL en novembre 2022.
IoCs :
| IP | AS | Pays |
| 172.105.83[.]46 | AS 63949 ( Linode, LLC ) | DE |
| 172.105.131[.]104 | AS 63949 ( Linode, LLC ) | DE |
| 109.74.204[.]123 | AS 63949 ( Linode, LLC ) | GB |
| 172.104.137[.]47 | AS 63949 ( Linode, LLC ) | DE |
| 178.79.148[.]229 | AS 63949 ( Linode, LLC ) | GB |
| 88.80.186[.]144 | AS 63949 ( Linode, LLC ) | GB |
| 80.85.85[.]235 | AS 63949 ( Linode, LLC ) | GB |
| 139.162.229[.]202 | AS 63949 ( Linode, LLC ) | GB |
| 151.236.216[.]243 | AS 63949 ( Linode, LLC ) | GB |
| 195.96.137[.]4 | AS 400161 ( HAWAIIRESEARCH ) | US |
| 195.96.137[.]5 | AS 400161 ( HAWAIIRESEARCH ) | US |
| 195.96.137[.]6 | AS 400161 ( HAWAIIRESEARCH ) | US |
| 195.96.137[.]7 | AS 400161 ( HAWAIIRESEARCH ) | US |
[1] https://php.watch/articles/php-easter-eggs