Support technique
Documentation
Connexion
Nous contacter
De nombreux logiciels malveillants ciblent les vulnérabilités de Cacti et de Realtek
Le 11 avril 2023 - L'équipe de relations publiques de TuxCare
Les experts en cybersécurité ont récemment identifié une augmentation significative de l'activité des réseaux de zombies qui propagent des logiciels malveillants et attaquent les dispositifs de réseau vulnérables. Ces attaques transmettent les logiciels malveillants ShellBot et Moobot en exploitant des failles dans deux outils logiciels : le Realtek Jungle SDK et l'outil de surveillance de la gestion des pannes Cacti.
Les deux vulnérabilités visées, CVE-2021-35394 et CVE-2022-46169, sont considérées comme hautement critiques car elles permettent aux attaquants d'exécuter du code à distance. CVE-2022-46169 est un bogue qui permet aux attaquants de contourner l'authentification et d'injecter des commandes dans les serveurs Cacti, tandis que CVE-2021-35394 est une vulnérabilité qui permet d'injecter des commandes arbitraires dans le Realtek Jungle SDK. Il convient de mentionner que d'autres logiciels de botnet tels que Fodcha, RedGoBot, Mirai, Gafgyt et Mozi ont déjà exploité ces vulnérabilités.
Selon une étude de Fortinet FortiGuard Labs, des cyberattaquants ont exploité ces failles pour diffuser les logiciels malveillants ShellBot (également connu sous le nom de PerlBot) et MooBot. Bien qu'elle ait déjà été utilisée pour diffuser Mirai, Gafgyt, Mozi et RedGoBot, c'est la première fois qu'elle est utilisée pour diffuser MooBot, une version de Mirai active depuis 2019.
Moobot infecte les hôtes vulnérables en exploitant les CVE-2022-46169 et CVE-2021-35394. Lorsque Moobot infecte une machine, il télécharge un script avec sa configuration et se connecte au serveur C2. Ensuite, le virus transmet des messages de battement de cœur jusqu'à ce qu'il reçoive une commande, après quoi il lance son attaque. La capacité de Moobot à rechercher et à interrompre les processus d'autres réseaux de zombies lui permet d'optimiser les ressources matérielles de l'hôte compromis et d'exécuter des assauts DDoS.
ShellBot, quant à lui, cherche avant tout à exploiter la vulnérabilité de Cacti. Fortinet a découvert trois versions distinctes de ShellBot, ce qui indique qu'il est activement développé. La première version se connecte au serveur C2 et attend des ordres pour effectuer différentes opérations telles que le balayage de ports, la suppression de fichiers et de dossiers, la transmission d'informations de version, le téléchargement d'un fichier, le lancement d'attaques DDoS UDP ou l'injection d'un shell inversé. La deuxième version comporte un ensemble plus large d'instructions, ainsi qu'un module de mise à jour des exploits qui tire des données des avis publics et des nouvelles de PacketStorm et milw0rm.
Le rapport de Fortinet n'indique pas explicitement si ce sont les mêmes acteurs qui ont propagé Moobot et ShellBot. Néanmoins, des charges utiles ont été observées exploitant les mêmes failles dans des salves d'attaques qui se chevauchent. L'action recommandée pour se défendre contre Mootbot et ShellBot est d'utiliser des mots de passe administrateur forts et d'appliquer les mises à jour de sécurité qui corrigent les vulnérabilités mentionnées. Si votre appareil n'est plus pris en charge par son fournisseur, il convient de le remplacer par un modèle plus récent afin de recevoir les mises à jour de sécurité.
Les sources de cet article comprennent un article de BleepingComputer.
