Honeypots : activité de la semaine 44

En semaine 44, les adresses IP à l’origine de la majorité de l’activité réseau malveillante sur les honeypots sont enregistrées aux Pays-Bas (24,53%), aux Etats-Unis (19,75%), en Chine (9,78%), en Bulgarie (8,38%) et en Russie (6,8%).

Cette semaine, TEHTRIS évoque 2 activités malveillantes observées sur son réseau de honeypots déployé à l’international.

1. Abus des identifiants sur le protocole de transfert de fichier (FTP)

Cette semaine, TEHTRIS a observé un nombre important d’attaques SSH concernant le File Transfer Protocol (protocole de transfert de fichier – FTP) réalisées par 18 adresses IP différentes. Des acteurs malveillants ont scanné nos honeypots en utilisant le login « ftpuser » en le combinant avec 58 mots de passe différents. Le même nombre de combinaisons a été observé en utilisant le login « ftp ».

IoCs :

IPASPays
63.143.127[.]250AS 33576 ( DIG001 )JM
153.122.21[.]26AS 131921 ( GMO GlobalSign Holdings K.K. )JP
45.95.55[.]28AS 200303 ( LUMASERV Systems )DE
171.251.16[.]198AS 7552 ( Viettel Group )VN
193.47.61[.]212AS 211252 ( Delis LLC )US
116.105.209[.]180AS 24086 ( Viettel Corporation )VN
85.31.46[.]66AS 211252 ( Delis LLC )US
162.241.189[.]135AS 19871 ( NETWORK-SOLUTIONS-HOSTING )US
165.90.105[.]105AS 37517 ( CV-Multimedia )CV
189.215.82[.]40AS 28509 ( Cablemas Telecomunicaciones SA de CV )MX
116.105.209[.]180AS 24086 ( Viettel Corporation )VN
122.202.44[.]19AS 10175 ( Kumho Cable )KR
165.90.116[.]21AS 37517 ( CV-Multimedia )CV
178.219.126[.]129AS 202281 ( C3 NET Sp. z o.o. Sp. k. )PL
181.118.101[.]254AS 28075 ( ARLINK S.A. )AR
182.16.184[.]3AS 17995 ( PT iForte Global Internet )ID
188.244.32[.]137AS 8334 ( LLC SETEL )RU
197.255.131[.]152AS 37517 ( CV-Multimedia )CV

TEHTRIS rappelle que le FTP n’est pas un protocole d’échange sécurisé car il n’implique pas de chiffrement. Les données envoyées via FTP sont ainsi vulnérables à l’espionnage, au vol ainsi qu’au détournement de l’identité numérique et aux attaques par force brute. Dans le cas observé par TEHTRIS sur son réseau de honeypots, les attaquants tentent de compromettre des comptes créés avec des mots de passe basiques et peu sécurisés.

Pour calculer la « force » de vos mots de passe avec l’ANSSI : https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

TEHTRIS recommande d’utiliser des protocoles qui garantissent le chiffrement des échanges et de toujours utiliser des mots de passe robustes et uniques.

2. Des Easter Eggs détournés dans PHP

Depuis déjà de nombreuses années, des « Easter Eggs » (œufs de Pâques en français, qui désignent des fonctions cachées en langage informatique) sont créés et insérés au sein d’un programme, ou d’un jeu vidéo, par les créateurs. Ils sont considérés comme des clins d’œil, des références cachées ou encore des plaisanteries.

Cette semaine, TEHTRIS alerte que ces blagues pourraient être détournées. En effet, TEHTRIS a observé l’utilisation de deux URLs sur son réseau de honeypots WEB permettant d’afficher des Easter Eggs concernant le langage de programmation PHP. Ces Easter Eggs, qui existent depuis 2004, ont pour objectif principal l’affichage d’images amusantes. Mais au-delà de la blague, ces requêtes peuvent s’avérer dangereuses. En effet, toute personne naviguant sur un site écrit en PHP peut ajouter à la suite de l’URL une de ces requêtes pour obtenir des informations :

/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

ou

/?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

La première URL va afficher les crédits PHP, et la seconde des logos funs en fonction de la version PHP utilisée sur le site. Toutes les versions sont concernées (cf. liste en image). A première vue, cela pourrait paraître inoffensif. Toutefois, les crédits et le logo PHP vont révéler des informations sur l’environnement du site. Un attaquant malveillant pourrait en extirper la version utilisée du langage PHP pour ensuite trouver une faille de sécurité ou une vulnérabilité associée à cette version. Il pourra ainsi compromettre le site.

Exemples de Easter Eggs PHP[1]

TEHTRIS recommande de s’assurer que, dans votre fichier php.ini, la ligne suivante est bien configurée pour éviter d’exposer vos informations :

expose_php = off

Moins il y a d’informations exposées publiquement sur votre serveur, moins il sera sujet aux tentatives d’attaques. Veillez donc à maîtriser et limiter les informations que vous exposez. Les attaquants continuent activement de rechercher des failles sur le langage PHP en utilisant ces 2 requêtes URL en novembre 2022.

IoCs :

IPASPays
172.105.83[.]46AS 63949 ( Linode, LLC )DE
172.105.131[.]104AS 63949 ( Linode, LLC )DE
109.74.204[.]123AS 63949 ( Linode, LLC )GB
172.104.137[.]47AS 63949 ( Linode, LLC )DE
178.79.148[.]229AS 63949 ( Linode, LLC )GB
88.80.186[.]144AS 63949 ( Linode, LLC )GB
80.85.85[.]235AS 63949 ( Linode, LLC )GB
139.162.229[.]202AS 63949 ( Linode, LLC )GB
151.236.216[.]243AS 63949 ( Linode, LLC )GB
195.96.137[.]4AS 400161 ( HAWAIIRESEARCH )US
195.96.137[.]5AS 400161 ( HAWAIIRESEARCH )US
195.96.137[.]6AS 400161 ( HAWAIIRESEARCH )US
195.96.137[.]7AS 400161 ( HAWAIIRESEARCH )US

[1] https://php.watch/articles/php-easter-eggs

Cyber or not Cyber ?

Abonnez-vous à la newsletter TEHTRIS.

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.

Pour pousser le sujet

Publications similaires

Cyber or not cyber ?

Une fois par mois, soyez au courant de l’actualité cyber en vous abonnant à la newsletter TEHTRIS.