{"id":1557605,"date":"2025-02-27T08:28:33","date_gmt":"2025-02-27T10:28:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/polaredge-botnet-exploite-cisco-et-dautres-defauts-pour-detourner-les-dispositifs-asus-qnap-et-synology\/"},"modified":"2025-02-27T08:28:38","modified_gmt":"2025-02-27T10:28:38","slug":"polaredge-botnet-exploite-cisco-et-dautres-defauts-pour-detourner-les-dispositifs-asus-qnap-et-synology","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/polaredge-botnet-exploite-cisco-et-dautres-defauts-pour-detourner-les-dispositifs-asus-qnap-et-synology\/","title":{"rendered":"Polaredge Botnet exploite Cisco et d&#8217;autres d\u00e9fauts pour d\u00e9tourner les dispositifs ASUS, QNAP et Synology"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ s\u00e9curit\u00e9 du r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Polaredge-Botnet-exploite-Cisco-et-dautres-defauts-pour-detourner-les.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Une nouvelle campagne de logiciels malveillants a \u00e9t\u00e9 observ\u00e9e ciblant les dispositifs Edge de Cisco, Asus, QNAP et Synology pour les enfiler dans un botnet nomm\u00e9 Polarege depuis au moins la fin de 2023.<\/p>\n<p>Compagnie de cybers\u00e9curit\u00e9 fran\u00e7aise Sekoia <a rel=\"noopener nofollow\" href=\"https:\/\/blog.sekoia.io\/polaredge-unveiling-an-uncovered-iot-botnet\/\" target=\"_blank\">dit<\/a> il a observ\u00e9 les acteurs de la menace inconnus tirant parti <a rel=\"noopener nofollow\" href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-sbr042-multi-vuln-ej76Pke5\" target=\"_blank\">CVE-2023-20118<\/a> (Score CVSS: 6,5), une faille de s\u00e9curit\u00e9 critique impactant Cisco Small Business RV016, RV042, RV042G, RV082, RV320 et RV325 qui pourraient entra\u00eener une ex\u00e9cution de commande arbitraire sur des appareils susceptibles.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 reste non corrig\u00e9e en raison des routeurs atteignant le statut de fin de vie (EOL). En tant qu&#8217;att\u00e9nuations, Cisco a recommand\u00e9 au d\u00e9but de 2023 que la faille soit att\u00e9nu\u00e9e en d\u00e9sactivant la gestion \u00e0 distance et en bloquant l&#8217;acc\u00e8s aux ports 443 et 60443.<\/p>\n<p>Dans l&#8217;attaque enregistr\u00e9e contre les pots de miel de Sekoia, la vuln\u00e9rabilit\u00e9 aurait \u00e9t\u00e9 utilis\u00e9e pour livrer un implant pr\u00e9alablement sans papiers, une porte d\u00e9rob\u00e9e TLS qui incorpore la possibilit\u00e9 d&#8217;\u00e9couter les connexions client entrantes et d&#8217;ex\u00e9cuter des commandes.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La porte d\u00e9rob\u00e9e est lanc\u00e9e au moyen d&#8217;un script shell appel\u00e9 &#8220;Q&#8221; qui est r\u00e9cup\u00e9r\u00e9 via FTP et ex\u00e9cut\u00e9 apr\u00e8s une exploitation r\u00e9ussie de la vuln\u00e9rabilit\u00e9. Il est livr\u00e9 avec des capacit\u00e9s \u00e0 &#8211;<\/p>\n<ul>\n<li>Nettoyer les fichiers journaux<\/li>\n<li>Terminer les processus suspects<\/li>\n<li>T\u00e9l\u00e9chargez une charge utile malveillante nomm\u00e9e &#8220;T.Tar&#8221; \u00e0 partir de 119.8.186[.]227<\/li>\n<li>Ex\u00e9cuter un binaire nomm\u00e9 &#8220;cipher_log&#8221; extrait de l&#8217;archive<\/li>\n<li>\u00c9tablir la persistance en modifiant un fichier nomm\u00e9 &#8220;\/etc\/flash\/etc\/cipher.sh&#8221; pour ex\u00e9cuter le binaire &#8220;cipher_log&#8221; \u00e0 plusieurs reprises<\/li>\n<li>Ex\u00e9cuter &#8220;Cipher_log&#8221;, la porte d\u00e9rob\u00e9e TLS<\/li>\n<\/ul>\n<p>CodeDamed Polaredge, le malware entre dans une boucle infinie, \u00e9tablissant une session TLS ainsi que pour engener un processus enfant pour g\u00e9rer les demandes des clients et ex\u00e9cuter des commandes \u00e0 l&#8217;aide de l&#8217;exec_command.<\/p>\n<p>&#8220;Le binaire informe le serveur C2 qu&#8217;il a r\u00e9ussi \u00e0 infecter un nouvel appareil&#8221;, a d\u00e9clar\u00e9 les chercheurs de Sekoia, Jeremy Scion et Felix Aim\u00e9. &#8220;Le malware transmet ces informations sur le serveur de rapports, permettant \u00e0 l&#8217;attaquant de d\u00e9terminer quel p\u00e9riph\u00e9rique a \u00e9t\u00e9 infect\u00e9 via l&#8217;appariement d&#8217;adresse \/ port IP.&#8221;<\/p>\n<p>Une analyse plus approfondie a r\u00e9v\u00e9l\u00e9 des charges utiles Polaredge similaires utilis\u00e9es pour cibler les dispositifs ASUS, QNAP et Synology. Tous les artefacts ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s sur Virustotal par des utilisateurs situ\u00e9s \u00e0 Taiwan. Les charges utiles sont distribu\u00e9es via FTP \u00e0 l&#8217;aide de l&#8217;adresse IP 119.8.186[.]227, qui appartient \u00e0 Huawei Cloud.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740652112_859_Polaredge-Botnet-exploite-Cisco-et-dautres-defauts-pour-detourner-les.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1740652112_859_Polaredge-Botnet-exploite-Cisco-et-dautres-defauts-pour-detourner-les.png\" alt=\"\" border=\"0\" data-original-height=\"3055\" data-original-width=\"6226\"\/><\/a><\/div>\n<p>En tout, le botnet aurait compromis 2 017 adresses IP uniques dans le monde, la plupart des infections d\u00e9tect\u00e9es aux \u00c9tats-Unis, \u00e0 Ta\u00efwan, en Russie, en Inde, au Br\u00e9sil, en Australie et en Argentine.<\/p>\n<p>&#8220;Le but de ce botnet n&#8217;a pas encore \u00e9t\u00e9 d\u00e9termin\u00e9&#8221;, ont not\u00e9 les chercheurs. &#8220;Un objectif de Polaredge pourrait \u00eatre de contr\u00f4ler les dispositifs de bord compromis, les transformant en bo\u00eetes de relais op\u00e9rationnelles pour lancer des cyberattaques offensives.&#8221;<\/p>\n<p>&#8220;Le botnet exploite plusieurs vuln\u00e9rabilit\u00e9s sur diff\u00e9rents types d&#8217;\u00e9quipements, mettant en \u00e9vidence sa capacit\u00e9 \u00e0 cibler divers syst\u00e8mes. La complexit\u00e9 des charges utiles souligne encore la sophistication de l&#8217;op\u00e9ration, sugg\u00e9rant qu&#8217;elle est men\u00e9e par des op\u00e9rateurs qualifi\u00e9s.<\/p>\n<p>La divulgation intervient alors que SecurityScoreCard a r\u00e9v\u00e9l\u00e9 qu&#8217;un botnet massif comprenant plus de 130 000 appareils infect\u00e9s est en cours d&#8217;arme <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/secauthn\/noninteractive-authentication\" target=\"_blank\">Signes non interactifs<\/a> avec authentification de base.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les panneaux non interactifs sont g\u00e9n\u00e9ralement utilis\u00e9s pour les protocoles d&#8217;authentification et de h\u00e9ritage de service \u00e0 service comme POP, IMAP et SMTP. Ils ne d\u00e9clenchent pas l&#8217;authentification multi-facteurs (MFA) dans de nombreuses configurations. L&#8217;authentification de base, en revanche, permet de transmettre les informations d&#8217;identification au format en texte clair.<\/p>\n<p>L&#8217;activit\u00e9, probablement le travail d&#8217;un groupe affili\u00e9 aux Chinois en raison de l&#8217;utilisation d&#8217;infrastructures li\u00e9es \u00e0 CDS Global Cloud et Ucloud HK, utilise des informations d&#8217;identification vol\u00e9es \u00e0 partir de journaux d&#8217;infostealer sur un large \u00e9ventail de comptes M365 pour obtenir un acc\u00e8s non autoris\u00e9 et obtenir des donn\u00e9es sensibles.<\/p>\n<p>&#8220;Cette technique contourne les protections de connexion modernes et \u00e9chappe \u00e0 l&#8217;application de la MFA, cr\u00e9ant un angle mort critique pour les \u00e9quipes de s\u00e9curit\u00e9&#8221;, la soci\u00e9t\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/securityscorecard.com\/wp-content\/uploads\/2025\/02\/MassiveBotnet-Report_022125_03.pdf\" target=\"_blank\">dit<\/a>. &#8220;Les attaquants exploitent les informations d&#8217;identification vol\u00e9es des journaux d&#8217;infostealer pour cibler syst\u00e9matiquement les comptes \u00e0 grande \u00e9chelle.&#8221;<\/p>\n<p>&#8220;Ces attaques sont enregistr\u00e9es dans des journaux de connexion non interactifs, qui sont souvent n\u00e9glig\u00e9s par les \u00e9quipes de s\u00e9curit\u00e9. Les attaquants exploitent cet \u00e9cart pour effectuer des tentatives de pulv\u00e9risation de mot de passe \u00e0 haut volume non d\u00e9tect\u00e9es. Cette tactique a \u00e9t\u00e9 observ\u00e9e dans plusieurs locataires M365 \u00e0 l&#8217;\u00e9chelle mondiale, indiquant une menace g\u00e9n\u00e9rale et continue.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/polaredge-botnet-exploits-cisco-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 f\u00e9vrier 2025\ue804Ravie LakshmananVuln\u00e9rabilit\u00e9 \/ s\u00e9curit\u00e9 du r\u00e9seau Une nouvelle campagne de logiciels malveillants a \u00e9t\u00e9 observ\u00e9e ciblant les dispositifs Edge de Cisco, Asus, QNAP et Synology pour les enfiler dans un botnet nomm\u00e9 Polarege depuis au moins la fin de 2023. Compagnie de cybers\u00e9curit\u00e9 fran\u00e7aise Sekoia dit il a observ\u00e9 les acteurs de la [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1557606,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,30264,5464,5859,4168,79002,274264,4161,274263,6124,4114,37939,31219,5466,7727,65,274267,4160,283201,185,27510,238617,246491,4172,136724,79016,4166,4164],"class_list":["post-1557605","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-asus","tag-botnet","tag-cisco","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dautres","tag-defauts","tag-detourner","tag-dispositifs","tag-exploite","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-polaredge","tag-pour","tag-qnap","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-synology","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1557605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1557605"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1557605\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1557606"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1557605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1557605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1557605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}