Le botnet FritzFrog contre-attaque en exploitant la vulnérabilité de Log4Shell
Une nouvelle variante du botnet sophistiqué "FritzFrog" est apparue, exploitant la vulnérabilité Log4Shell pour se propager. Bien que la faille Log4j ait été découverte il y a plus de deux ans, les attaquants continuent de l'exploiter efficacement car de nombreuses organisations négligent de patcher leurs systèmes. Le réseau de zombies semble notamment cibler des sections apparemment sûres de réseaux internes où les correctifs peuvent faire défaut.
Comprendre le botnet FritzFrog
Initialement identifié par Guardicore (qui fait désormais partie d'Akamai) en août 2020, FritzFrog fonctionne comme un botnet peer-to-peer (P2P), ciblant principalement les serveurs orientés vers Internet dont les identifiants SSH sont faibles. La vulnérabilité Log4Shell (CVE-2021-44228), qui a attiré l'attention en raison de sa nature critique, est maintenant exploitée par FritzFrog comme vecteur d'infection secondaire. Contrairement à ses stratégies précédentes qui se concentraient sur les serveurs orientés vers l'internet, cette variante vise les hôtes internes des réseaux compromis. Ce changement souligne l'importance de pratiques complètes de gestion des correctifs, car même des systèmes internes apparemment moins vulnérables peuvent devenir des cibles de choix pour l'exploitation.
L'une des améliorations notables de cette variante est qu'elle identifie les cibles potentielles présentant des vulnérabilités au sein du réseau en analysant les journaux système des hôtes compromis. Cela signifie qu'en dépit des correctifs apportés aux applications orientées vers l'internet, toute violation d'autres points d'extrémité peut encore laisser des systèmes internes non corrigés vulnérables à l'exploitation, ce qui facilite la propagation du logiciel malveillant. En outre, le logiciel malveillant exploite désormais la vulnérabilité PwnKit (CVE-2021-4034) pour l'escalade des privilèges locaux, ce qui renforce encore sa persistance et sa portée.
En outre, le botnet FritzFrog utilise des tactiques d'évasion pour échapper à la détection, notamment en minimisant son empreinte en évitant, dans la mesure du possible, de déposer des fichiers sur le disque. En utilisant des emplacements de mémoire partagée et en exécutant des charges utiles résidant en mémoire, il maintient une présence furtive qui pose des problèmes de détection et d'atténuation.
Conclusion
Akamai, l'une des principales sociétés de sécurité et d'infrastructure web, a baptisé cette dernière activité " Frog4Shell", soulignant la convergence des capacités de FritzFrog avec l'exploit Log4Shell. En exploitant des machines internes non corrigées, FritzFrog tire parti de la tendance à donner la priorité à la correction des serveurs orientés vers Internet, laissant les systèmes internes potentiellement exposés et vulnérables.
Alors que le botnet FritzFrog continue d'évoluer, les organisations de divers secteurs, y compris la santé, l'éducation et le gouvernement, doivent rester vigilantes et donner la priorité aux mesures de cybersécurité afin de contrecarrer efficacement les menaces émergentes.
Les sources de cet article comprennent un article de TheHackerNews.