Une nouvelle variante de Mirai cible les appareils IoT, SonicWall et D-Link

0

Une nouvelle variante du botnet Mirai cible un grand nombre de vulnérabilités dans les appareils D-Link, Netgear et SonicWall non patchés , ainsi que des failles jamais vues auparavant dans des gadgets IoT(Internet des Objets).

Depuis le 16 février, la nouvelle variante cible six vulnérabilités connues – et trois auparavant inconnues – afin d’infecter les systèmes et de les ajouter à un botnet. Ce n’est que la dernière variante de Mirai à apparaitre, des années après que le code source du malware ait été divulgué en Octobre 2016.

« Les attaques sont toujours en cours au moment de cette rédaction », ont déclaré les chercheurs de Palo Alto Networks Unité 42. « Après une exploitation réussie, les attaquants tentent de télécharger un script shell malveillant, qui contient d’autres comportements d’infection tels que le téléchargement et l’exécution des variantes Mirai. »

Exploit initiale: Nouvelles et vielles failles

Les attaques tirent parti d’un certain nombre de vulnérabilités. Les vulnérabilités connues exploitées incluent : Un exploit de SonicWall SSL-VPN ; un exploit de pare-feu de D-Link DNS-320 (CVE-2020-25506); failles d’exécution de code à distance de Yealink Device Management (CVE-2021-27561 et CVE-2021-27562); une faille d’exécution de code à distance de Netgear ProSAFE Plus (CVE-2020-26919); une faille d’exéuction de code à distance dans Micro Focus Operation Bridge Reporter (CVE-2021-22502); et un exploit du routeur sans fil Netis WF2419 (CVE-2019-19356).

Des correctifs sont disponibles pour toutes ces failles de sécurité. Le botnet cible les appareils qui n’ont pas encore appliqué les mises à jour disponibles.

Par exemple, « l’exploit VisualDoor en question cible une ancienne vulnérabilité du firmware SSL-VPN qui a été patché sur les produits legacy en 2015 avec les sorties de 7.5.1.4-43sv et 8.0.0.4-25sv, » a déclaré un porte-parole de SonicWall. « Il n’est pas viable contre les appareils SonicWall correctement patchés. »

mirai

Le botnet a également exploité des vulnérabilités qui n’avaient pas été identifiées auparavant. Les chercheurs croient que ces failles se trouvent dans les appareils IoT.

« Nous ne pouvons pas dire avec certitude quels sont les dispositifs ciblés pour les exploits non identifiés », a déclaré Zhibin Zhang, chercheur principal de l’unité 42. « Cependant, en se basant sur les autres exploits connus dans les échantillons, ainsi que la nature des exploits historiquement sélectionnés pour être incorporés avec Mirai, il est fort probable qu’ils ciblent les appareils IoT. »

Les exploits eux-mêmes comprennent deux attaques d’exécution de code à distance – y compris un exploit ciblant une vulnérabilité d’injection de commande dans certains composants; et un exploit ciblant le script de connexion de Common Gateway Interface (découlant d’un paramètre clé n’étant pas correctement vérifié). Le troisième exploit cible le paramètre op_type, qui n’est pas correctement vérifié menant à une injection de commande, ont déclaré les chercheurs.

Ce dernier a « été observé dans le passé utilisé par [le] [botnet] Moobot , mais la cible exacte est inconnue », ont noté les chercheurs.

Le botnet Mirai: un ensemble de binaires

Après l’exploitation initiale, le malware invoque l’utilitaire wget (un programme légitime qui récupère le contenu des serveurs Web) afin de télécharger un script shell à partir de l’infrastructure du malware. Le script shell télécharge ensuite plusieurs binaires Mirai et les exécute, un par un.

Un de ces binaires inclut lolol.sh, qui a plusieurs fonctions. Lolol.sh supprime les dossiers clés de la machine cible (y compris ceux avec les travaux planifiés existants et les scripts de démarrage); crée des règles de filtre de paquets pour barrer le trafic entrant dirigé vers les ports SSH, HTTP et telnet couramment utilisés (pour rendre l’accès à distance au système affecté plus difficile pour les administrateurs); et planifie une opération qui vise à réexécuter le script lolol.sh toutes les heures (pour la persistance). Il convient de noter que ce dernier processus est défectueux, ont déclaré les chercheurs, car la configuration du cron est incorrecte.

Un autre binaire (install.sh) télécharge divers fichiers et paquets – y compris GoLang v1.9.4, les binaires « nbrute » (qui utilise la force brute pour diverses informations d’identification) et le fichier combo.txt (qui contient de nombreuses combinaisons d’informations d’identification, à utiliser pour le forçage brutal par « nbrute »).

Le binaire final est appelé dark.[arch], et est basé sur le code de base de Mirai. Ce binaire fonctionne principalement pour la propagation, soit via les différents exploits initiaux de Mirai décrits ci-dessus, ou via le forçage brute des connexions SSH en utilisant des informations d’identification codées en dur dans le binaire.

Des variantes de Mirai continuent d’apparaitre

Cette variante n’est que la dernière à s’appuyer sur le code source de Mirai, qui a proliféré dans plus de 60 variantes depuis son apparition avec un énorme déni de service distribué (DDoS) qui a affecté Dyn, un fournisseur de DNS, en 2016.

L’année dernière, une variante de Mirai a été trouvée ciblant les périphériques de stockage connectés au réseau Zyxel (NAS) à l’aide d’une vulnérabilité critique qui n’a été découverte que récemment, selon des chercheurs en sécurité. En 2019, une variante du botnet a été trouvée reniflant et ciblant les vulnérabilités dans les systèmes de présentation et d’affichage sans fil d’entreprise. Et, une variante de 2018 a été utilisée pour lancer une série de campagnes de déni se de service contre les entreprises du secteur financier.

Les chercheurs ont déclaré que ce qu’il faut retenir ici est que les appareils connectés continuent de poser un problème de sécurité pour les utilisateurs. Ils ont fortement conseillé aux clients d’appliquer les correctifs dans la mesure du possible.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.