CERT

Honeypots : activité de la semaine 46

L’analyse des honeypots de TEHTRIS déployés à l’international permet d’obtenir des informations sur les types de scans et d’actions malveillantes réalisés par les cyberattaquants. En semaine 46, nous avons étudié 3 types d’activités.

Abus du protocole SSH ciblant PostgreSQL

PostgreSQL, ou Postgres, est un système de gestion de base de données relationnelle orienté objet, déployé sur du matériel ou exécuté dans le Cloud, qui donne la priorité à la conformité et à l’extensibilité SQL. Comme les projets libres Apache et Linux, PostgreSQL est un outil disponible et libre, fondé par une communauté mondiale de développeurs.

Les entreprises qui souhaitent maintenir un haut niveau d’intégrité et de personnalisation de leurs données choisissent généralement Postgres en raison de sa fiabilité et de ses solutions innovantes. Cet outil est utilisé par de nombreuses organisations, d’où l’importance de se renseigner à son sujet, car les cybers criminels connaissent aussi et ciblent les solutions les plus utilisées.

PostgreSQL n’offre pas la possibilité d’avoir des identifiants par défaut. Ainsi, il faut configurer les identifiants de connexion lors du process d’installation. Si cette étape n’est pas prise suffisamment au sérieux et que les login/mot de passes ne sont pas suffisamment robustes, les tentatives des cyber attaquants d’entrer dans votre base de données Postgres réussiront.

En effet, cette semaine, sur le réseau honeypots TEHTRIS, de nombreuses tentatives d’abus d’identifiants sur le protocole SSH ont été observées pour PostgreSQL. Le login « postgres » a été associé à 1 065 mots de passe différents. Ces combinaisons ont été testées par 82 adresses IP.

Voici le top 10 des mots de passe tentés :

  • postgres
  • 123456
  • 1234
  • 123
  • 12345
  • 123456789
  • postgres1234
  • admin
  • postgres123
  • password

TOP 10 des IP qui ont réalisé le plus de tentatives d’abus :

IP%ASPays
164.132.200[.]21351.174%AS 16276 ( OVH SAS )FR
15.235.114[.]7914.366%AS 16276 ( OVH SAS )CA
51.222.12[.]13711.643%AS 16276 ( OVH SAS )CA
59.148.203[.]504.225%AS 10103 ( HK Broadband Network Ltd. )HK
79.11.235[.]1463.192%AS 3269 ( Telecom Italia )IT
109.239.48[.]811.502%AS 34011 ( Host Europe GmbH )DE
191.36.173[.]951.502%AS 263336 ( EXTREME WI )BR
109.239.58[.]61.315%AS 34011 ( Host Europe GmbH )DE
122.117.185[.]2521.033%AS 3462 ( Data Communication Business Group )TW
82.79.69[.]2340.845%AS 8708 ( RCS & RDS )RO

Tentative de compromission sur SMB par des IP malveillantes inconnues

Cette semaine, les principales IP ayant réalisé des activités malveillantes en tentant de compromettre le protocole SMB sur les honeypots TEHTRIS sont méconnues des bases de données publiques.

TEHTRIS recommande d’appliquer du filtrage de flux sur les stations et les serveurs, ainsi que le concept de zéro-trust et d’utiliser un VPN. Mais finalement pour bien protéger un système informatique, il faut surtout éviter de les exposer en direct sur Internet, même pendant quelques minutes, compte tenu de l’intensité de frappe permanente que nous observons dans le monde grâce à nos capteurs.

IoCs :

IPASPays
201.211.189[.]86 AS 8048 ( CANTV Servicios, Venezuela )VE
140.246.18[.]74 AS 58519 ( Cloud Computing Corporation )CN
186.122.247[.]214 AS 11664 ( Techtel LMDS Comunicaciones Interactivas S.A. )PY
1.169.110[.]3 AS 3462 ( Data Communication Business Group )TW
110.137.154[.]250 AS 7713 ( PT Telekomunikasi Indonesia )ID
96.10.242[.]118 AS 11426 ( TWC-11426-CAROLINAS )US
1.169.62[.]71 AS 3462 ( Data Communication Business Group )TW

 

Exploitation d’une backdoor sur les routeurs Netcore

Cette semaine, grâce au module NTA de la TEHTRIS XDR Platform, nous avons observé une IP malveillante qui scanne Internet pour exploiter une faille découverte en 2014. Il s’agit d’une backdoor présente dans les routeurs du fabricant chinois Netcore. Les routeurs sont vendus sous le nom Netis à l’export. Cette vulnérabilité permet à l’attaquant de prendre le contrôle du système sans que les utilisateurs ne soient en mesure de se protéger.

Il s’agit de l’IP suisse 141.255.166[.]2 enregistrée auprès de l’AS 51852 (Private Layer INC). Connue des bases de données publiques pour être malveillante, cette IP a ciblé 644 fois les honeypots TEHTRIS en visant particulièrement des infrastructures irlandaises, allemandes, belges et tchèques.

L’attaquant peut exploiter cette backdoor en surveillant le port UDP 53413, qui dans une configuration standard du routeur, sera accessible depuis internet. Cet accès nécessite un mot de passe, mais il s’agit d’un mot de passe par défaut, le même pour toutes les machines que l’entreprise a produites. Cette backdoor permet à l’attaquant de facilement rentrer dans le réseau et peut ainsi réaliser des attaques de type Man-in-the-Middle sur tous les systèmes qui utiliseront ce routeur compromis. Le routeur pourra aussi servir de point d’entrée vers le réseau interne, ce qui est une pratique de plus en plus observée ces dernières années.

8 ans après la découverte de cette backdoor, les cyber acteurs malveillants tentent toujours d’exploiter cette faille. Le manque de sécurité sur les objets connectés (ou IoT : Internet of Things) persiste encore aujourd’hui et met en danger votre organisation ! Quand vous le pouvez, TEHTRIS recommande de changer les mots de passe par défaut, modifier les configurations de vos appareils selon vos besoins, et surtout, de vous renseigner sur les éventuelles vulnérabilités existantes qui pourraient compromettre votre matériel informatique.