Une faille de routeur Tenda utilisée dans une campagne de botnet

Deux anciennes failles du routeur Tenda permettent la diffusion d’un botnet basé sur Mirai appelé Ttint. En plus des attaques par déni de service (DoS), cette variante dispose également de capacités de cheval de Troie d’accès à distance (RAT) et de logiciels espions.

Selon 360Netlab, le botnet est inhabituel à plusieurs égards. D’une part, en ce qui concerne le RAT, les chercheurs ont déclaré qu’il implémentait 12 fonctions d’accès à distance, qui se combinent avec des commandes de serveur de commande et de contrôle (C2) personnalisées pour effectuer des tâches telles que la configuration d’un proxy Socket5 pour les périphériques de routeur, la falsification du DNS du routeur, le paramétrage des iptables et l’exécution des commandes de système personnalisées.

En plus, Ttint utilise également des canaux chiffrés pour communiquer avec le C2 – en particulier, en utilisant le protocole WebSocket over TLS (WSS). Les chercheurs ont déclaré que cela permettait au trafic d’éviter la détection tout en offrant une sécurité supplémentaire.

Et enfin, l’infrastructure semble migrer. 360Netlab a d’abord observé les attaquants en utilisant une adresse IP de service cloud Google, avant de passer à un fournisseur d’hébergement à Hong Kong.

Vulnérabilités des routeurs Tenda

Les routeurs Tenda sont disponibles dans les magasins à grande surface et sont utilisés dans les maisons et les petits bureaux. La première vulnérabilité utilisée pour diffuser des échantillons Ttint (CVE-2018-14558) est exploitée depuis au moins le mois de Novembre 2019 mais il n’a été divulgué qu’en Juillet. Une mise à jour du micrologiciel est désormais disponible pour y remédier.

La faille est une vulnérabilité critique d’injection de commande, notée 9,8 sur 10 sur l’échelle de gravité de vulnérabilité CvSS. Il permet aux attaquants d’exécuter des commandes de système d’exploitation arbitraires via une requête goform/setUsbUnload spécialement conçue. Cela se produit parce que la fonction «formsetUsbUnload» exécute une fonction dosystemCmd avec une entrée non approuvée.

tenda

Fin août, une deuxième vulnérabilité critique du routeur Tenda (CVE-2020-10987) est apparue dans la campagne. Elle a également une note de 9,8 sur 10 et a été initialement divulguée en Juillet par des chercheurs en sécurité indépendants, après avoir essayé depuis Janvier d’obtenir un correctif de la part de Tenda. Il a pu exploiter la faille afin de provoquer une condition de déni de service.

La faille existe car le point de terminaison goform/setUsbUnload de Tenda AC15 AC1900 version 15.03.05.19 permet aux attaquants distants d’exécuter des commandes système arbitraires via le paramètre POST de deviceName, selon la description CVE.

360Netlab a également essayé d’avertir Tenda des problèmes liés à la faille, cette fois pour une utilisation dans les infections de botnet.

«Le 28 août 2020, nous avons signalé les détails de la deuxième vulnérabilité et de la preuve de concept au fabricant de routeurs Tenda par e-mail, mais le fabricant n’a pas encore répondu», ont déclaré les chercheurs.

Le RAT Ttint

Ttint en tant que malware peut exécuter 10 instructions d’attaque Mirai DDoS typiques (y compris plusieurs vecteurs d’attaque), ainsi que 12 instructions RAT et 22 commandes C2 personnalisées qui fonctionnent ensemble.

«De manière générale, au niveau de l’hôte, le comportement de Ttint est relativement simple», selon les chercheurs. «Lorsqu’il est en cours d’exécution, il supprime ses propres fichiers, manipule la sécurité et empêche le périphérique de redémarrer, il s’exécute comme une seule instance en liant le port et modifie ensuite le nom du processus pour tromper l’utilisateur… il établit finalement une connexion avec le C2 déchiffré, rapportant les informations de l’appareil, attendant que le serveur C2 émette des instructions pour exécuter les attaques correspondantes ou les fonctions personnalisées.

Les chercheurs ont déclaré que parmi les fonctions RAT les plus remarquables, il y avait la commande de lier un port spécifique émis par le serveur C2 pour activer le service proxy Socket5. Cela permet aux attaquants d’accéder à distance à l’intranet du routeur Tenda et de se déplacer sur le réseau.

«De manière générale, Ttint combinera plusieurs fonctions personnalisées pour atteindre des objectifs d’attaque spécifiques», ont expliqué les chercheurs. «Prenez les deux commandes adjacentes que nous avons capturées, la première commande est ‘iptables -I INPUT -p tcp –dport 51599 -j ACCEPT’, pour permettre l’accès au port 51599 du périphérique concerné. La commande suivante consiste à activer la fonction proxy Socket5 sur le port 51599 de l’appareil concerné. La combinaison des deux commandes a permis à l’attaquant d’utiliser le proxy Socket5. »

Une autre commande indique au logiciel malveillant d’altérer le DNS du routeur Tenda en modifiant le fichier resolv.conf, ce qui lui permet de détourner l’accès au réseau de l’un des utilisateurs du routeur. Cela permet à son tour aux attaquants de surveiller ou de voler des informations sensibles.

tenda

Pendant ce temps, en configurant iptables, les opérateurs peuvent réaliser le transfert du trafic et la conversion d’adresse cible, ce qui pourrait exposer les services réseau internes et conduire à la divulgation d’informations. Et, en implémentant un shell inversé via socket, l’auteur de Ttint peut faire fonctionner le shell du périphérique de routage affecté comme un shell local.

Enfin, les commandes personnalisées permettent également au malware de s’auto-mettre à jour et de s’autodétruire.

Les informations C2 de l’échantillon Ttint Bot sont chiffrées et stockées dans la table d’informations de configuration au format Mirai, protégées par une clé XOR, ont déclaré les chercheurs.

«Lorsque le bot est en cours d’exécution, il déchiffre pour obtenir l’adresse du serveur C2,… puis communique avec le C2 en toute sécurité via le protocole WebSocket sur TLS», selon les chercheurs. «Lorsque le C2 de Ttint répond au bot avec un code de réponse de 101, cela signifie que la négociation du protocole est terminée, puis le bot peut communiquer en utilisant le protocole WebSocket.»

Il y a eu récemment une résurgence de logiciels malveillants basés sur Mirai capables de créer de grands botnets grâce à l’exploitation d’appareils IoT mal sécurisés. Cela a contribué à une augmentation significative du nombre d’attaques par déni de service distribué (DDoS) au cours du premier semestre de l’année, par rapport à la même période l’année dernière. L’ajout du RAT et des commandes C2 marque cependant un changement pour le monde Mirai.

«Deux vulnérabilités, 12 fonctions d’accès à distance pour le routeur, le protocole de trafic chiffré et l’infrastructure IP qui se déplace», a écrit la société dans un article récent. “Ce botnet ne semble pas être un botnet très typique.”

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x