Des failles de sécurité récemment révélées affectant les pare-feu Juniper, Openfire et les serveurs Apache RocketMQ ont été activement exploitées dans la nature, selon plusieurs rapports.
La Fondation Shadowserver dit qu’il « constate des tentatives d’exploitation à partir de plusieurs adresses IP pour Juniper J-Web CVE-2023-36844 (et ses amis) ciblant le point de terminaison /webauth_operation.php », le jour même où une preuve de concept (PoC) est devenue disponible.
Les problèmes, suivis comme CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 et CVE-2023-36847, résident dans le composant J-Web de Junos OS sur Juniper SRX et EX Series. Ils pourraient être enchaînés par un attaquant réseau non authentifié pour exécuter du code arbitraire sur des installations sensibles.
Les correctifs pour la faille ont été publiés le 17 août 2023, une semaine après quoi watchTowr Labs a publié une preuve de concept (PoC) en combinant CVE-2023-36846 et CVE-2023-36845 pour exécuter un fichier PHP contenant un shellcode malveillant.
Actuellement, il y a plus de 8 200 appareils Juniper dont les interfaces J-Web sont exposées à Internet, la plupart provenant de Corée du Sud, des États-Unis, de Hong Kong, d’Indonésie, de Turquie et d’Inde.
Kinsing exploite la vulnérabilité Openfire
Une autre vulnérabilité qui a été exploitée par les acteurs malveillants est CVE-2023-32315, un bug de traversée de chemin de haute gravité dans la console d’administration d’Openfire qui pourrait être exploité pour l’exécution de code à distance.
« Cette faille permet à un utilisateur non autorisé d’exploiter l’environnement de configuration Openfire non authentifié au sein d’une configuration Openfire établie », a déclaré la société de sécurité cloud Aqua. dit.
« En conséquence, un acteur malveillant a accès aux fichiers de configuration de l’administrateur qui sont généralement restreints dans la console d’administration Openfire. Ensuite, l’acteur malveillant peut choisir entre ajouter un utilisateur administrateur à la console ou télécharger un plugin qui permettra éventuellement une utilisation complète. contrôle sur le serveur. »
Les acteurs menaçants associés au Botnet de logiciels malveillants Kinsing ont été observés utilisant la faille pour créer un nouvel utilisateur administrateur et télécharger un fichier JAR, qui contient un fichier nommé cmd.jsp qui agit comme un shell Web pour supprimer et exécuter le malware et un mineur de crypto-monnaie.
Aqua a déclaré avoir trouvé 6 419 serveurs connectés à Internet avec le service Openfire en cours d’exécution, la majorité des instances étant situées en Chine, aux États-Unis et au Brésil.
Vulnérabilité Apache RocketMQ ciblée par le botnet DreamBus
Signe que les acteurs malveillants sont toujours à la recherche de nouvelles failles à exploiter, une version mise à jour du malware botnet DreamBus a été observée tirant parti d’une vulnérabilité d’exécution de code à distance de gravité critique dans les serveurs RocketMQ pour compromettre les appareils.
CVE-2023-33246comme le problème est catalogué, est une faille d’exécution de code à distance affectant les versions 5.1.0 et inférieures de RocketMQ qui permet à un attaquant non authentifié d’exécuter des commandes avec le même niveau d’accès que celui du processus utilisateur du système.
Dans les attaques détectées par Juniper Threat Labs depuis le 19 juin 2023, l’exploitation réussie de la faille ouvre la voie au déploiement d’un script bash appelé « reketed », qui fait office de téléchargeur du botnet DreamBus depuis un service caché TOR.
DreamBus est un Malware basé sur Linux il s’agit d’une variante de SystemdMiner conçue pour extraire de la crypto-monnaie sur des systèmes infectés. Actif depuis début 2019, il est connu pour se propager en exploitant spécifiquement des vulnérabilités d’exécution de code à distance.
« Dans le cadre de la routine d’installation, le malware met fin aux processus et élimine les fichiers associés à des versions obsolètes de lui-même », a déclaré le chercheur en sécurité Paul Kimayong. diten l’ajoutant, il configure la persistance sur l’hôte au moyen d’une tâche cron.
« Cependant, la présence d’un robot modulaire comme le malware DreamBus, doté de la capacité d’exécuter des scripts bash, offre à ces cybercriminels la possibilité de diversifier leur répertoire d’attaques, y compris l’installation de diverses autres formes de malware. »
Exploitation des VPN SSL Cisco ASA pour déployer Akira Ransomware
Ces développements surviennent au milieu de la société de cybersécurité Rapid7 avertissement d’une légère augmentation de l’activité des menaces remontant à mars 2023 et ciblant les appliances VPN SSL Cisco ASA afin de déployer le ransomware Akira.
Alors que certains cas ont nécessité le recours au credential stuffing, dans d’autres, l’activité « semble être le résultat d’attaques ciblées par force brute sur les appareils ASA où l’authentification multifacteur (MFA) n’était pas activée ou n’était pas appliquée pour tous les utilisateurs ». a déclaré l’entreprise.
Cisco a reconnu le attaquesnotant que les acteurs de la menace pourraient également acheter des informations d’identification volées sur le dark web pour infiltrer des organisations.
Cette hypothèse est encore renforcée par le fait qu’un premier courtier d’accès appelé Basserlord a été observé en train de vendre un guide sur l’intrusion dans les réseaux d’entreprise dans des forums clandestins au début du mois de février.
« L’auteur a notamment affirmé avoir compromis 4 865 services VPN SSL Cisco et 9 870 services VPN Fortinet avec la combinaison nom d’utilisateur/mot de passe test:test », a déclaré Rapid7.
« Il est possible que, compte tenu du moment choisi pour la discussion sur le dark web et de l’activité accrue des menaces que nous avons observée, les instructions du manuel aient contribué à la hausse des attaques par force brute ciblant les VPN Cisco ASA. »
Les divulgations arrivent également alors que les appliances Citrix NetScaler ADC et Gateway non corrigées courent un risque accru d’attaques opportunistes de la part d’acteurs de ransomware qui utilisent une faille critique dans les produits pour supprimer des shells Web et d’autres charges utiles.