Un faux PoC sur la vulnérabilité de Linux contient un logiciel malveillant
Un faux exploit de démonstration de faisabilité (PoC) ciblant les chercheurs en cybersécurité est apparu. Il installe un logiciel malveillant conçu pour voler les mots de passe Linux. Les analystes d'Uptycs sont tombés sur ce PoC malveillant au cours de leurs analyses de routine, lorsque les systèmes de détection ont signalé des activités suspectes, notamment des connexions réseau inattendues, des tentatives non autorisées d'accès aux systèmes et des transferts de données inhabituels.
Le faux PoC malveillant était initialement hébergé dans trois dépôts sur GitHub, mais ils ont depuis été supprimés. Néanmoins, il a été rapporté que le PoC malveillant a été largement diffusé au sein de la communauté des chercheurs en sécurité, suscitant des inquiétudes quant à d'éventuelles infections sur de nombreux ordinateurs.
Détails du faux PoC
Le faux PoC semble être un exploit pour CVE-2023-35829, une vulnérabilité critique "use-after-free" affectant les versions du noyau Linux antérieures à 6.3.2. Cependant, après un examen plus approfondi, il devient évident que ce PoC est en fait une copie d'un exploit authentique plus ancien destiné à une faille différente du noyau Linux, CVE-2022-34918.
Le code utilise les espaces de noms Linux, qui sont utilisés pour séparer les ressources du noyau, créant ainsi une façade de shell racine. Malgré cette apparence, les privilèges du PoC restent confinés dans l'espace de noms de l'utilisateur.
L'objectif premier de cette tromperie est de persuader les victimes que l'exploit est authentique et fonctionnel. Ce faisant, les attaquants gagnent du temps pour opérer sans restriction sur le système compromis.
Lors de l'activation, le PoC crée un fichier "kworker" et ajoute son chemin d'accès au fichier "/etc/bashrc", assurant ainsi sa persistance même après le redémarrage du système.
En outre, le PoC établit une communication avec le serveur de commande et de contrôle (C2) de l'attaquant afin de télécharger et d'exécuter un script bash Linux à partir d'une URL externe. Ce script téléchargé est conçu pour accéder au fichier "/etc/passwd" afin de voler des données précieuses du système. En outre, il manipule le fichier "~/.ssh/authorized_keys", ce qui permet à l'attaquant d'obtenir un accès à distance non autorisé au serveur. Enfin, le script utilise 'curl' pour exfiltrer des données via 'transfer.sh'.
Les données volées comprennent le nom d'utilisateur de la victime, son nom d'hôte et le contenu de son répertoire personnel. Cependant, avec un accès à distance sécurisé au serveur, les attaquants peuvent maintenant voler manuellement toute autre information souhaitée.
Le script bash fait passer ses opérations pour des processus de niveau noyau afin d'éviter toute détection, en exploitant le fait que les administrateurs système ont tendance à faire confiance à ces entrées et les négligent souvent.
Conclusion
Uptycs conseille aux utilisateurs qui ont téléchargé et exécuté le faux PoC de supprimer les clés SSH non autorisées, de supprimer le fichier 'kworker' et son chemin d'accès du fichier 'bashrc', et de vérifier le fichier '/tmp/.iCE-unix.pid' à la recherche de menaces potentielles.
Il est essentiel que les chercheurs soient prudents lorsqu'ils utilisent des PoC téléchargés sur l'internet. Ces PoC doivent être testés dans des environnements isolés et sécurisés, tels que des machines virtuelles, et leur code doit de préférence être inspecté avant d'être exécuté.
Les sources de cet article comprennent un article de BleepingComputer.