Hack’tualité #2

ZeroBot : le Botnet aux 21 exploits

Un Botnet développé en GO exploiterait 21 vulnérabilités afin de tenter de se propager sur un
réseau au travers de différentes plateformes qui vont du routeur au firewall en passant par des
caméras, des NAS ou même des PC. Le but de ce Botnet est d’intégrer les équipements compromis
dans un réseau de déni de service (DDoS) afin de lancer des attaques puissantes contre des
cibles spécifiques.
ZeroBot serait capable d’exploiter les 17 vulnérabilités suivantes :

• CVE-2014-08361: miniigd SOAP service in Realtek SDK
• CVE-2017-17106: Zivif PR115-204-P-RS webcams
• CVE-2017-17215: Huawei HG523 router
• CVE-2018-12613: phpMyAdmin
• CVE-2020-10987: Tenda AC15 AC1900 router
• CVE-2020-25506: D-Link DNS-320 NAS
• CVE-2021-35395: Realtek Jungle SDK
• CVE-2021-36260: Hikvision product
• CVE-2021-46422: Telesquare SDT-CW3B1 router
• CVE-2022-01388: F5 BIG-IP
• CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
• CVE-2022-25075: TOTOLink A3000RU router
• CVE-2022-26186: TOTOLink N600R router
• CVE-2022-26210: TOTOLink A830R router
• CVE-2022-30525: Zyxel USG Flex 100(W) firewall
• CVE-2022-34538: MEGApix IP cameras
• CVE-2022-37061: FLIX AX8 thermal sensor cameras

En plus de ces 17 CVE, 4 vulnérabilités n’ont pas encore été attribuées. L’une d’entre elles ciblerait
des terminaux GPON. Un terminal GPON est un équipement de concentration et de distribution
de liens FTTH (fibre optique) vers des abonnés. Sa compromission pourrait remettre en question
la confiance dans le lien fibre qui arrive derrière nos box internet.

Bientot Watchdogs dans la réalité …

Sources :

BleepingComputer et The Hackers News et It Connect

Vulnérabilité VPN-SSL chez Fortinet

La société Fortinet a indiqué que leurs produits reposants sur FortiOS pouvaient être vulnérables
à l’exploitation d’une faille SSL_VPN qui permet l’exécution de code distant. La CVE-2022-42475
relate un bug, plus précisément le débordement d’un tampon alloué dans le tas (heap buffer
overflow) d’exécution, du service sslvpnd. L’exploitation de cette vulnérabilité permet a un
utilisateur non authentifié de faire crasher des appareils à distance et potentiellement de pouvoir
exécuter du code arbitraire spécifiquement forgé. Fortinet a indiqué, dans le communiqué FGIR-
22-398, que cette vulnérabilité est activement exploitée et invite les utilisateurs des produits
concernés à mettre à jour leur firmware.

Sources :

LeMagIT et BleepingComputer et The Hacker News

Lazarus utilise des binaires signés

Le groupe d’attaquants chinois Lazarus utiliserait des binaires signés permettant d’évader les
systèmes de détection. L’équipe de K7 Security Labs a analysé un échantillon faisant partie d’une
campagne ‘Inception’ menée par Lazarus. Le malware en question est un assez gros binaire qui
embarque du code compilé à destination de 2 plateformes 64 bits différentes, du x86_64 ainsi
que du ARM64. Ce logiciel malveillant est signé avec un certificat valide, pour autant, l’id du
développeur auquel il appartient a été révoqué.

Sources :

K7 Security Labs

BlackBasta, intégration à la vitesse de la lumière

En marge de la dernière campagne de distribution via Amadey, voici la description d’une
campagne toujours en cours : QakBot > CobaltStrike > BlackBasta. Cela nous montre à quel
point certains groupes d’attaquants peuvent être à la pointe du devops. Dans cette campagne, le
ransomware est distribué en s’appuyant sur un loader QakBot et un outil de pentest CobaltStrike.

Sources :

Cybereason

Usurpation de la certification de pilotes Microsoft

Une série d’attaques informatiques mettant en oeuvre l’utilisation de pilotes de périphériques
malveillants certifiés par Microsoft a été identifiée par des analystes de Mandiant, SentinelOne
ainsi que Sophos. Des charges finales de type ransomware (par exemple, Hive ou Cuba ) auraient
été déployées en s’appuyant sur l’installation de ces pilotes. L’installation de ce type de driver
permet d’accéder à un niveau plus privilégié que les programmes classiques dans le système
d’exploitation et d’effectuer tout ce que souhaite un attaquant tout en contournant les différents
systèmes de détection. Les identifiants de développeur des certificats compromis ont d’ores et
déjà été révoqués par Microsoft.

Sources :

Twitter et ZD Net

Le programme de renseignements ukrainien ciblé par du vol de données

D’après le CERT-UA, le programme de renseignement militaire ukrainien DELTA aurait été la cible
d’une campagne d’attaque menée par le groupe d’attaquants russe UAC-0142. Cette campagne
aurait consisté à diffuser des emails malveillants en utilisant des comptes de messagerie piratés
appartenant à des employés du ministère de la défense ukrainien. Ces messages présentaient,
en pièce jointe, des liens vers des fichiers hébergés sur de faux domaines du programme DELTA.
L’intensification des cyberattaques russes à l’encontre des entités ukrainiennes en prévision de
leur invasion semblait être orientée vers la diffusion de logiciels malveillants causant des dégats
sur leurs infrastructures.
Pour autant, ce cas nous montre que les attaquants russes sont capables de déployer des moyens
permettant de cibler et tenter de récupérer des informations hautement stratégiques.

Sources :

Security Affairs

Des questions sur ces actualités ou sur nos solutions ? N’hésitez pas à contacter notre équipe : cti@glimps.re

ESSAI GRATUIT