Un nouveau botnet basé sur Mirai exploite les vulnérabilités de plusieurs appareils, en se concentrant sur les NVR DigiEver DS-2105 Pro non corrigés, les micrologiciels obsolètes des routeurs TP-Link et les routeurs Teltonika RUT9XX. La campagne a débuté en octobre, avec une exploitation active remontant jusqu’en septembre. Les chercheurs d’Akamai ont confirmé des attaques en cours, qui exploitent plusieurs failles d’exécution de code à distance pour intégrer des appareils dans le botnet à des fins malveillantes.
Le nouveau botnet Mirai exploite les vulnérabilités de divers appareils
Le botnet cible une vulnérabilité spécifique d’exécution de code à distance (RCE) dans les NVR DigiEver, qui implique une validation d’entrée incorrecte dans l’URI « /cgi-bin/cgi_main.cgi ». Les pirates peuvent injecter à distance des commandes telles que « curl » et « chmod » via des paramètres tels que le champ ntp dans les requêtes HTTP POST. Ta-Lun Yen de TXOne précédemment mis en évidence cette vulnérabilité, notant son impact sur divers appareils DVR lors d’une présentation à la conférence de sécurité DefCamp.
En plus de la faille DigiEver, la variante Mirai exploite également CVE-2023-1389 dans les appareils TP-Link et CVE-2018-17532 dans les routeurs Teltonika RUT9XX. Les chercheurs ont noté que même si les attaques contre les appareils DigiEver ont été directement observées par Akamai, elles reflètent des méthodes similaires précédemment décrites par Yen. L’exploitation de ces failles soutient une campagne visant à prendre pied dans les appareils vulnérables.
Vous utilisez TP-Link ? Voici pourquoi les États-Unis pourraient interdire votre routeur
Méthodologie et techniques utilisées par les attaquants
Grâce à l’injection de commandes, les attaquants peuvent récupérer les binaires de logiciels malveillants hébergés sur des serveurs externes, facilitant ainsi l’ajout d’appareils compromis au botnet. Une fois sous contrôle, les appareils peuvent être utilisés pour lancer des attaques par déni de service distribué (DDoS) ou faciliter de nouvelles attaques contre d’autres cibles. La persistance au sein des systèmes infectés est maintenue en introduisant des tâches cron, qui garantissent que le logiciel malveillant reste actif malgré les redémarrages potentiels ou autres interruptions.
Les découvertes d’Akamai souligner que cette nouvelle variante de Mirai comporte des méthodes de cryptage avancées, notamment XOR et ChaCha20, indiquant l’évolution des tactiques parmi les opérateurs de botnet. Contrairement à de nombreuses itérations précédentes de Mirai, qui reposaient sur l’obscurcissement de base des chaînes, cette variante présente une intention d’améliorer l’évasion et la sécurité opérationnelle. Il cible un large éventail d’architectures, notamment x86, ARM et MIPS, élargissant ainsi son impact potentiel sur différents types d’appareils.
Les chercheurs d’Akamai exhortent les propriétaires et les administrateurs d’appareils à adopter des mesures proactives, notamment la surveillance des indicateurs de compromission (IoC), qu’ils ont mis à disposition, ainsi que les règles Yara pour détecter et bloquer la menace émergente.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
