Des failles de sécurité critiques dans Cacti, Realtek et IBM Aspera Faspex sont exploitées par divers acteurs de la menace dans des hacks ciblant des systèmes non corrigés.
Cela implique l’abus de CVE-2022-46169 (score CVSS : 9,8) et CVE-2021-35394 (score CVSS : 9,8) pour fournir MooBot et ShellBot (alias PerlBot), Fortinet FortiGuard Labs a dit dans un rapport publié cette semaine.
CVE-2022-46169 concerne une faille critique de contournement d’authentification et d’injection de commandes dans les serveurs Cacti qui permet à un utilisateur non authentifié d’exécuter du code arbitraire. CVE-2021-35394 concerne également une vulnérabilité d’injection de commande arbitraire affectant le SDK Realtek Jungle qui a été corrigé en 2021.
Alors que ce dernier a déjà été exploité pour distribuer des botnets comme Mirai, Gafgyt, Mozi et RedGoBot, le développement marque la première fois qu’il est utilisé pour déployer MooBot, une variante de Mirai connue pour être active depuis 2019.
La faille Cacti, en plus d’être exploitée pour les attaques MooBot, a également été observée au service des charges utiles ShellBot depuis janvier 2023, lorsque le problème a été révélé.
Au moins trois versions différentes de ShellBot ont été détectées – à savoir. PowerBots (C) GohacK, Modded perlbot v2 de LiGhT et B0tchZ 0.2a – dont les deux premiers ont été récemment divulgués par le AhnLab Security Emergency Response Center (ASEC).
Les trois variantes sont capables d’orchestrer des attaques par déni de service distribué (DDoS). PowerBots (C) GohacK et B0tchZ 0.2a disposent également de fonctionnalités de porte dérobée pour effectuer des téléchargements/téléchargements de fichiers et lancer un shell inversé.
« Les victimes compromises peuvent être contrôlées et utilisées comme robots DDoS après avoir reçu une commande d’un serveur C2 », a déclaré Cara Lin, chercheuse chez Fortinet. « Parce que MooBot peut tuer d’autres processus de botnet et également déployer des attaques par force brute, les administrateurs doivent utiliser des mots de passe forts et les changer périodiquement. »
Exploitation active de la faille IBM Aspera Faspex
Une troisième vulnérabilité de sécurité qui a fait l’objet d’une exploitation active est CVE-2022-47986 (score CVSS : 9,8), un problème critique de désérialisation YAML dans l’application d’échange de fichiers Aspera Faspex d’IBM.
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
Le bug, patché en décembre 2022 (version 4.4.2 Patch niveau 2), a été coopté par des cybercriminels dans des campagnes de rançongiciels associées à Bouhti et IceFire depuis février, peu de temps après la sortie de l’exploit de preuve de concept (PoC).
La société de cybersécurité Rapid7, plus tôt cette semaine, révélé que l’un de ses clients a été compromis par la faille de sécurité, obligeant les utilisateurs à agir rapidement pour appliquer les correctifs afin de prévenir les risques potentiels.
« Parce qu’il s’agit généralement d’un service accessible sur Internet et que la vulnérabilité a été liée à l’activité du groupe de rançongiciels, nous vous recommandons de mettre le service hors ligne si un correctif ne peut pas être installé immédiatement », a déclaré la société.