Un nouveau botnet cible les systèmes Linux afin de les compromettre et de les intégrer à une armée de bots prêts à faire de nouvelles victimes et à dérober des données !

Nommé B1txor20 par les chercheurs de l'éditeur Qihoo 360 (Netlab 360), cette nouvelle souche malveillante attaque les machines sous Linux, aussi bien sur une architecture x64 qu'ARM. Les chercheurs l'ont capturé la première fois le 9 février dernier, par l'intermédiaire d'un serveur pot de miel (honeypot). Au total, ils ont capturé quatre échantillons avec différentes fonctions (porte dérobée, vol de données, exécution de code arbitraire, ou encore installation de rootkit). En complément, d'autres fonctions seraient inactives pour le moment et toujours en cours de développement.

Pour infecter de nouvelles machines, le botnet utilise des exploits ciblant une vulnérabilité bien connue puisqu'il s'agit de la faille Log4J. Cette faille reste très intéressante puisqu'elles touchent énormément de fournisseurs et de solutions différentes, la bibliothèque de journalisation Apache Log4j étant populaire. Même si de nombreux systèmes sont probablement patchés, il reste forcément des hôtes vulnérables.

Le malware B1txor20 utilise de la tunnellisation DNS (DNS Tunneling) pour créer un canal de communication avec le serveur C2 (command & control). Même s'il s'agit d'une technique ancienne, elle reste fiable et efficace afin de permettre aux pirates d'exploiter le protocole DNS pour transférer les données au sein de requêtes DNS.

Autrement dit, et comme l'explique les chercheurs en sécurité : "le bot envoie les informations volées, les résultats d'exécution des commandes et toute autre information devant être exfiltrés, au serveur C2 sous la forme d'une requête DNS, après avoir caché ces informations à l'aide de techniques d'encodage spécifiques".

Même si la vulnérabilité Log4j a été découverte il y a plusieurs mois et que les éditeurs ont pu la corriger dans leurs différents outils, ce botnet est la preuve qu'elle reste un vecteur d'attaque important pour les pirates ! Ce n'est pas pour rien si l'ANSSI l'a inclus dans son Top 10 des vulnérabilités de l'année 2021.

Source

The post Ce botnet Linux exploite Log4j et communique par DNS Tunneling first appeared on IT-Connect.

Des attaquants ont pu exploiter des appareils de téléphonie Mitel mal configurés comme vecteur d'amplification pour réaliser des attaques DDoS importantes.

Dans le monde de la téléphonie pour les entreprises, les appareils et solutions Mitel bénéficient d'une bonne réputation. C'est fréquent de les croiser dans les bureaux des entreprises, donc ces appareils représentent un intérêt important pour les pirates informatiques. Dernièrement, ils ont pu être utilisés dans le cadre d'attaques DDoS très puissantes.

Des chercheurs en sécurité d'Akamai, Cloudflare, Lumen, NETSCOUT, Team Cymru, TELUS, et de la Fondation Shadowserver ont analysés différentes attaques DDoS impliquant des appareils Mitel, et les résultats sont étonnants. C'est un pic d'attaques à la mi-février 2022, en provenance du port 10074/UDP et à destination des ports 80/443 (http/https), qui a poussé ces entreprises à enquêter.

Grâce à cette analyse, on apprend que les attaquants exploitent les systèmes collaboratifs Mitel MiCollab et MiVoice Business Express qui ne sont pas correctement configurés. L'équipe de NETSCOUT précise : "environ 2 600 de ces systèmes ont été incorrectement provisionnés, de sorte qu'une installation de test de système non authentifiée a été exposée par inadvertance sur Internet, donnant aux hackers l'occasion d'utiliser ces passerelles PBX VoIP comme amplificateurs DDoS". Résultat, le taux potentiel d'amplification est énorme  4 294 867 296 : 1.

Ils précisent également qu'un test contrôlé de ce vecteur d'amplification a permis de réaliser une attaque DDoS qui "a produit plus de 400 Mpps (millions de paquets par seconde) de trafic". Le tout à partir d'un seul paquet usurpé !

Cette attaque nommée  TP240PhoneHome est associée à la référence CVE suivante : CVE-2022-26143. Pour exploiter cette vulnérabilité, les pirates exploitent le service nommé tp240dvr (correspondant au pilote TP-240) sur les systèmes Mitel. En fait, le fameux service "tp240dvr" rend accessible une commande à destination des équipes de développement conçue pour réaliser un stress test et des tests de performance. Sauf que là, elle est accessible par des personnes malveillantes à cause d'une erreur de configuration.

De son côté, Mitel a publié différents bulletins de sécurité et correctifs afin de guider leur client. Par exemple, le fabricant précise que le port UDP/10074 n'est pas censé être exposé sur Internet. Cela confirme les propos de NETSCOUT. En complément, Mitel a mis en ligne de nouvelles versions logicielles pour empêcher les attaques par amplification.

Souvenez-vous, il y a quelques temps, le Cloud Azure est parvenu à bloquer une attaque DDoS de 3,47 Tbps.

Source

The post Des attaques DDoS exploitent les appareils de téléphonie Mitel first appeared on IT-Connect.

Une nouvelle version d'OpenSSL est dès à présent disponible dans le but de corriger une faille de sécurité importante qui permet à un attaquant de provoquer un déni de service à distance.

La vulnérabilité CVE-2022-0778

Associée à la référence CVE-2022-0778, ce problème de sécurité se produit lors de l'analyse d'un certificat malformé à cause de paramètres invalides, ce qui entraîne une "boucle infinie" et mène à un plantage du serveur. Au sein d'OpenSSL, cette faille se trouve dans une fonction appelée BN_mod_sqrt() qui est utilisée pour réaliser un calcul mathématique.

Dans un bulletin de sécurité publié le 15 mars, OpenSSL précise : "étant donné que l'analyse du certificat a lieu avant la vérification de la signature du certificat, tout processus qui analyse un certificat fourni par un tiers peut donc faire l'objet d'une attaque par déni de service".

Pour l'instant, il n'y a pas de preuve que cette vulnérabilité a été exploitée dans le cadre d'attaques, mais plusieurs scénarios semblent envisageables. Par exemple, lorsqu'un client ou un serveur TLS (TLS fonctionne en mode client-serveur) accède à un certificat falsifié provenant d'un client ou d'un serveur malveillant. Mais aussi, lorsqu'une autorité de certification analyse les demandes de certificats des clients.

L'historique de la vulnérabilité

Le chercheur en sécurité Tavis Ormandy, de l'équipe Google Project Zero, a fait la découverte de cette faille de sécurité. Il a remonté l'information aux équipes d'OpenSSL le 24 février 2022. Ensuite, le correctif a été développé par  David Benjamin de chez Google et Tomáš Mráz d'OpenSSL. Désormais, des correctifs sont disponibles !

Quelles sont les versions d'OpenSSL affectées ?

La vulnérabilité impacte plusieurs versions d'OpenSSL :

• OpenSSL versions 1.0.2 antérieures à 1.0.2zd
• OpenSSL versions 1.1.1 antérieures à 1.1.1n
• OpenSSL versions 3.0.x antérieures à 3.0.2

La bonne nouvelle, c'est que les mises à jour sont disponibles au téléchargement pour les versions sous support. En toute logique, les versions patchées sont :

• OpenSSL 1.0.2zd (pour les clients avec un support premium)
• OpenSSL 1.1.1n
• OpenSSL 3.0.2

Il est à noter qu'OpenSSL 1.1.0 est également affecté, mais il ne recevra pas de correctif, car il n'est plus sous support.

Pour visualiser la version actuelle d'OpenSSL installée sur une machine, vous pouvez utiliser la commande suivante :

openssl version

Le CERT-FR a également émis un bulletin de sécurité au sujet de cette vulnérabilité OpenSSL.

Source

The post Cette faille dans OpenSSL permet de provoquer un déni de service à distance first appeared on IT-Connect.

Le fabricant de NAS QNAP a publié un message pour informer ses utilisateurs que ses appareils étaient vulnérables à une faille de sécurité située dans le noyau Linux. Il s'agit de la vulnérabilité Dirty Pipe.

Rappel sur la vulnérabilité Dirty Pipe

La vulnérabilité Dirty Pipe (CVE-2022-0847) touche le noyau Linux à partir de la version 5.8, et comme elle touche le noyau Linux, cela impacte forcément de nombreuses distributions et systèmes basés sur ce kernel. De nombreux fabricant de NAS, dont QNAP, s'appuient sur un noyau Linux.

Cette vulnérabilité est jugée comme critique, car elle autorise un utilisateur standard, sans droit "admin", à injecter et écraser les données au sein de fichiers en lecture seule. Par exemple, un utilisateur standard peut réussir à éditer le fichier "/etc/passwd" d'une machine Linux afin de supprimer le mot de passe du compte "root" et prendre le contrôle de la machine. D'après Max Kellermann, le chercheur à l'origine de cette découverte, la vulnérabilité Dirty Pipe est similaire à la faille Dirty COW (CVE-2016-5195) corrigée en 2016, à la différence près que celle-ci est plus facile à exploiter.

Cette faille de sécurité a été corrigée au sein des versions suivantes du noyau Linux : 5.16.11, 5.15.25, et 5.10.102.

Le cas des NAS QNAP

Pour le moment, QNAP est clair : le correctif n'est pas disponible, alors les utilisateurs doivent patienter, car de toute façon il n'y a pas de méthode pour atténuer la faille temporairement. Il faut rester à l'affût de la sortie de la mise à jour.

Le fabricant n'est pas rassurant, mais se montre transparent, en affirmant que l'exploitation de cette faille de sécurité permet à un utilisateur standard d'obtenir les droits admins sur le NAS.

QNAP précise que les périphériques sous QTS 5.0.X et QuTS Hero h5.0.X sont affectés par cette vulnérabilité, aussi pour les NAS x86 que ceux sur une architecture ARM. La liste des modèles affectés est très longue, comme on peut le voir sur cette page.

Le bulletin de sécurité est disponible ici : QSA-22-05.

Si vous avez un NAS QNAP, il est préférable de désactiver l'accès à distance afin de ne pas l'exposer sur Internet. C'est de toute façon une recommandation suite aux différentes attaques par ransomwares de ces derniers mois.

Source

The post QNAP impacté par la vulnérabilité Dirty Pipe du noyau Linux first appeared on IT-Connect.

Le collectif Anonymous a publié de nouvelles informations sur Twitter afin d'affirmer que le site du FSB, c'est-à-dire les services secrets russes, était hors ligne !

Depuis plusieurs semaines désormais, et suite au début du conflit entre la Russie et l'Ukraine, les pirates informatiques du groupe Anonymous s'en prennent à la Russie. Ils ont même déclaré la cyberguerre à la Russie, et depuis, ils se montrent particulièrement actifs. Après avoir piraté les sites de plusieurs médias russes tels que Russia Today ou l'agence de presse étatique TASS, lors des premières opérations, ils s'en sont pris à plusieurs chaînes de TV russes dans le but de diffuser des images de la guerre. L'objectif étant d'ouvrir les yeux des citoyens.

Cela ne s'arrête pas là puisque les Anonymous ont également piraté l'agence spatiale russe : l'occasion de mettre la main sur certains documents sensibles, notamment des descriptions de missions lunaires.

Cette fois-ci, c'est le site du FSB (fsb.gov.ru) qui a fait les frais des actions d'Anonymous, mais également les sites de la ville de Moscou, du Ministère des Sports de la Fédération de Russie, et du Centre analytique pour le gouvernement de la Fédération de Russie. Pour rappel, l'ancien non du FSB est KGB, peut-être que cela vous parle un peu plus.

Ce tweet est accompagné du message "Tango Down" en référence à la formule utilisée pour signaler qu'un ennemi est à terre.

Russian sites under attack [Tango Down]
Moscow
FSB
Analytical Center for the Government of the Russian Federation
Ministry of Sport of the Russian Federation#Anonymous #OpRussia pic.twitter.com/OLOMSNBvWr

— Anonymous (@YourAnonNews) March 15, 2022

<script async src="https://platform.twitter.com/widgets.js" charset="utf-8">

Même si le site du FSB est hors ligne, nous ne savons quelles sont les informations qui ont pu être récupérées par les membres d'Anonymous. On peut s'attendre à d'autres actions du collectif Anonymous dans les prochains jours et les prochaines semaines.

Source

The post Anonymous a piraté le site des services secrets russes first appeared on IT-Connect.