ClickCease Le botnet FritzFrog contre-attaque en exploitant la vulnérabilité de Log4Shell

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le botnet FritzFrog contre-attaque en exploitant la vulnérabilité de Log4Shell

Rohan Timalsina

Le 13 février 2024 - L'équipe d'experts de TuxCare

Une nouvelle variante du botnet sophistiqué "FritzFrog" est apparue, exploitant la vulnérabilité Log4Shell pour se propager. Bien que la faille Log4j ait été découverte il y a plus de deux ans, les attaquants continuent de l'exploiter efficacement car de nombreuses organisations négligent de patcher leurs systèmes. Le réseau de zombies semble notamment cibler des sections apparemment sûres de réseaux internes où les correctifs peuvent faire défaut.

 

Comprendre le botnet FritzFrog

 

Initialement identifié par Guardicore (qui fait désormais partie d'Akamai) en août 2020, FritzFrog fonctionne comme un botnet peer-to-peer (P2P), ciblant principalement les serveurs orientés vers Internet dont les identifiants SSH sont faibles. La vulnérabilité Log4Shell (CVE-2021-44228), qui a attiré l'attention en raison de sa nature critique, est maintenant exploitée par FritzFrog comme vecteur d'infection secondaire. Contrairement à ses stratégies précédentes qui se concentraient sur les serveurs orientés vers l'internet, cette variante vise les hôtes internes des réseaux compromis. Ce changement souligne l'importance de pratiques complètes de gestion des correctifs, car même des systèmes internes apparemment moins vulnérables peuvent devenir des cibles de choix pour l'exploitation.

L'une des améliorations notables de cette variante est qu'elle identifie les cibles potentielles présentant des vulnérabilités au sein du réseau en analysant les journaux système des hôtes compromis. Cela signifie qu'en dépit des correctifs apportés aux applications orientées vers l'internet, toute violation d'autres points d'extrémité peut encore laisser des systèmes internes non corrigés vulnérables à l'exploitation, ce qui facilite la propagation du logiciel malveillant. En outre, le logiciel malveillant exploite désormais la vulnérabilité PwnKit (CVE-2021-4034) pour l'escalade des privilèges locaux, ce qui renforce encore sa persistance et sa portée.

En outre, le botnet FritzFrog utilise des tactiques d'évasion pour échapper à la détection, notamment en minimisant son empreinte en évitant, dans la mesure du possible, de déposer des fichiers sur le disque. En utilisant des emplacements de mémoire partagée et en exécutant des charges utiles résidant en mémoire, il maintient une présence furtive qui pose des problèmes de détection et d'atténuation.

 

Conclusion

 

Akamai, l'une des principales sociétés de sécurité et d'infrastructure web, a baptisé cette dernière activité " Frog4Shell", soulignant la convergence des capacités de FritzFrog avec l'exploit Log4Shell. En exploitant des machines internes non corrigées, FritzFrog tire parti de la tendance à donner la priorité à la correction des serveurs orientés vers Internet, laissant les systèmes internes potentiellement exposés et vulnérables.

Alors que le botnet FritzFrog continue d'évoluer, les organisations de divers secteurs, y compris la santé, l'éducation et le gouvernement, doivent rester vigilantes et donner la priorité aux mesures de cybersécurité afin de contrecarrer efficacement les menaces émergentes.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Le botnet FritzFrog contre-attaque en exploitant la vulnérabilité de Log4Shell
Nom de l'article
Le botnet FritzFrog contre-attaque en exploitant la vulnérabilité de Log4Shell
Description
Restez informé sur la dernière variante du botnet FritzFrog utilisant Log4Shell. Découvrez les nouvelles tactiques utilisées dans le cadre de cette menace en constante évolution.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information