Support technique
Documentation
Connexion
Nous contacter
Uptycs met en garde contre un faux dépôt de preuve de concept sur GitHub
Obanla Opeyemi
26 juillet 2023 - L'équipe d'experts de TuxCare
Uptycs a découvert sur GitHub un faux dépôt de preuve de concept (PoC) qui se fait passer pour un PoC légitime pour la CVE-2023-35829, une faille de grande gravité récemment divulguée dans le noyau Linux. Cependant, le PoC est en fait une porte dérobée qui peut voler des données sensibles à partir d'hôtes compromis et permettre à des acteurs de la menace d'obtenir un accès à distance.
Uptycs a découvert que le dépôt trompeur se présentait comme un PoC pour CVE-2023-35829, une faille de grande gravité dans le noyau Linux. Après une inspection plus approfondie, les chercheurs ont remarqué des activités suspectes telles que des connexions réseau inattendues, des transferts de données inhabituels et des tentatives d'accès non autorisé au système. En creusant davantage, ils ont découvert que le PoC était une copie d'un ancien exploit légitime pour une autre vulnérabilité du noyau Linux, CVE-2022-34918. Le seul ajout était un fichier nommé "src/aclocal.m4", qui fonctionnait comme un téléchargeur pour un script bash Linux, facilitant la persistance du logiciel malveillant.
La porte dérobée malveillante, déguisée en PoC légitime, permettait aux acteurs de la menace d'obtenir un accès à distance en ajoutant leur clé SSH au fichier ".ssh/authorized_keys". Cette capacité a permis l'exfiltration d'une vaste gamme de données, allant des noms d'hôtes et d'utilisateurs à des listes exhaustives du contenu des répertoires personnels. L'ampleur de la compromission potentielle des données était élevée pour ceux qui ont exécuté le faux PoC.
La porte dérobée peut voler un large éventail de données sensibles, notamment le nom d'hôte, le nom d'utilisateur, le contenu du répertoire personnel et les clés SSH. Il peut également être utilisé pour obtenir un accès à distance à l'hôte compromis en ajoutant la clé SSH de l'attaquant au fichier "authorized_keys".
Uptycs a identifié un autre profil GitHub, ChriSanders22, faisant circuler un faux PoC pour VMware Fusion CVE-2023-20871. Fait remarquable, il contenait le même fichier aclocal.m4 déclenchant l'installation de la porte dérobée cachée. Un autre profil GitHub a été trouvé, hébergeant un autre faux PoC pour CVE-2023-35829.
Cette découverte fait suite à un précédent incident au cours duquel VulnCheck a détecté de faux comptes GitHub usurpant l'identité de chercheurs en sécurité pour distribuer des logiciels malveillants sous le couvert d'exploits PoC pour des logiciels largement utilisés.
Les sources de cet article comprennent un article de TheHackerNews.
