{"id":260314,"date":"2022-07-16T04:59:25","date_gmt":"2022-07-16T06:59:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-les-serveurs-voip-en-exploitant-le-logiciel-digium-phone\/"},"modified":"2022-07-16T04:59:26","modified_gmt":"2022-07-16T06:59:26","slug":"des-pirates-ciblant-les-serveurs-voip-en-exploitant-le-logiciel-digium-phone","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-les-serveurs-voip-en-exploitant-le-logiciel-digium-phone\/","title":{"rendered":"Des pirates ciblant les serveurs VoIP en exploitant le logiciel Digium Phone"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les t\u00e9l\u00e9phones VoIP utilisant le logiciel de Digium ont \u00e9t\u00e9 cibl\u00e9s pour d\u00e9poser un shell Web sur leurs serveurs dans le cadre d&#8217;une campagne d&#8217;attaque con\u00e7ue pour exfiltrer des donn\u00e9es en t\u00e9l\u00e9chargeant et en ex\u00e9cutant des charges utiles suppl\u00e9mentaires.<\/p>\n<p>&#8220;Le logiciel malveillant installe des portes d\u00e9rob\u00e9es PHP multicouches obscurcies sur le syst\u00e8me de fichiers du serveur Web, t\u00e9l\u00e9charge de nouvelles charges utiles \u00e0 ex\u00e9cuter et planifie des t\u00e2ches r\u00e9currentes pour r\u00e9infecter le syst\u00e8me h\u00f4te&#8221;, Palo Alto Networks Unit 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/digium-phones-web-shell\/\" target=\"_blank\">a dit<\/a> dans un rapport de vendredi.<\/p>\n<p>L&#8217;activit\u00e9 inhabituelle aurait commenc\u00e9 \u00e0 la mi-d\u00e9cembre 2021 et cible Asterisk, une impl\u00e9mentation logicielle largement utilis\u00e9e d&#8217;un autocommutateur priv\u00e9 (PBX) qui s&#8217;ex\u00e9cute sur le serveur open source Elastix Unified Communications.<\/p>\n<p>L&#8217;unit\u00e9 42 a d\u00e9clar\u00e9 que les intrusions partagent des similitudes avec la campagne INJ3CTOR3 que la soci\u00e9t\u00e9 isra\u00e9lienne de cybers\u00e9curit\u00e9 Check Point a r\u00e9v\u00e9l\u00e9e en novembre 2020, faisant allusion \u00e0 la possibilit\u00e9 qu&#8217;elles puissent \u00eatre une &#8220;r\u00e9surgence&#8221; des attaques pr\u00e9c\u00e9dentes.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Logiciel de t\u00e9l\u00e9phone Digium\" border=\"0\" data-original-height=\"479\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1657954765_815_Des-pirates-ciblant-les-serveurs-VoIP-en-exploitant-le-logiciel.jpg\" title=\"Logiciel de t\u00e9l\u00e9phone Digium\" \/><\/div>\n<p>Co\u00efncidant avec cette augmentation soudaine, la divulgation publique en d\u00e9cembre 2021 d&#8217;une faille d&#8217;ex\u00e9cution de code \u00e0 distance d\u00e9sormais corrig\u00e9e dans <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/FreePBX\/digium_phones\" target=\"_blank\">FreePBX<\/a>, une interface graphique open source bas\u00e9e sur le Web qui est utilis\u00e9e pour contr\u00f4ler et g\u00e9rer Asterisk.  Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-45461\" target=\"_blank\">CVE-2021-45461<\/a>le probl\u00e8me est not\u00e9 9,8 sur 10 pour sa gravit\u00e9.<\/p>\n<p>Les attaques commencent par la r\u00e9cup\u00e9ration d&#8217;un script shell dropper initial \u00e0 partir d&#8217;un serveur distant, qui, \u00e0 son tour, est orchestr\u00e9 pour installer le shell Web PHP \u00e0 diff\u00e9rents endroits du syst\u00e8me de fichiers et cr\u00e9er deux comptes d&#8217;utilisateur root pour maintenir l&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Il cr\u00e9e en outre une t\u00e2che planifi\u00e9e qui s&#8217;ex\u00e9cute toutes les minutes et r\u00e9cup\u00e8re une copie distante du script shell \u00e0 partir du domaine contr\u00f4l\u00e9 par l&#8217;attaquant pour ex\u00e9cution.<\/p>\n<p>En plus de prendre des mesures pour couvrir ses traces, le malware est \u00e9galement \u00e9quip\u00e9 pour ex\u00e9cuter des commandes arbitraires, permettant finalement aux pirates de prendre le contr\u00f4le du syst\u00e8me, de voler des informations, tout en maintenant une porte d\u00e9rob\u00e9e vers les h\u00f4tes compromis.<\/p>\n<p>&#8220;La strat\u00e9gie consistant \u00e0 implanter des shells Web dans des serveurs vuln\u00e9rables n&#8217;est pas une nouvelle tactique pour les acteurs malveillants&#8221;, ont d\u00e9clar\u00e9 les chercheurs, ajoutant qu&#8217;il s&#8217;agissait d&#8217;une &#8220;approche courante adopt\u00e9e par les auteurs de logiciels malveillants pour lancer des exploits ou ex\u00e9cuter des commandes \u00e0 distance&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/hackers-targeting-voip-servers-by.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les t\u00e9l\u00e9phones VoIP utilisant le logiciel de Digium ont \u00e9t\u00e9 cibl\u00e9s pour d\u00e9poser un shell Web sur leurs serveurs dans le cadre d&#8217;une campagne d&#8217;attaque con\u00e7ue pour exfiltrer des donn\u00e9es en t\u00e9l\u00e9chargeant et en ex\u00e9cutant des charges utiles suppl\u00e9mentaires. &#8220;Le logiciel malveillant installe des portes d\u00e9rob\u00e9es PHP multicouches obscurcies sur le syst\u00e8me de fichiers du [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":260315,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,133,90150,29063,4157,4159,4171,4170,65,6816,4167,4160,4163,4162,35314,4394,4172,4169,8541,4166,82189,4164],"class_list":["post-260314","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-digium","tag-exploitant","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-phone","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-violation-de-donnees","tag-voip","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/260314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=260314"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/260314\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/260315"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=260314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=260314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=260314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}