{"id":587289,"date":"2023-02-02T05:06:23","date_gmt":"2023-02-02T07:06:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-menace-le-logiciel-malveillant-stealthy-headcrab-a-compromis-plus-de-1-200-serveurs-redis\/"},"modified":"2023-02-02T05:06:25","modified_gmt":"2023-02-02T07:06:25","slug":"nouvelle-menace-le-logiciel-malveillant-stealthy-headcrab-a-compromis-plus-de-1-200-serveurs-redis","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-menace-le-logiciel-malveillant-stealthy-headcrab-a-compromis-plus-de-1-200-serveurs-redis\/","title":{"rendered":"Nouvelle menace\u00a0: le logiciel malveillant Stealthy HeadCrab a compromis plus de 1\u00a0200\u00a0serveurs Redis"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 f\u00e9vrier 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>S\u00e9curit\u00e9 de la base de donn\u00e9es \/ Crypto-monnaie<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Au moins 1 200 serveurs de base de donn\u00e9es Redis dans le monde ont \u00e9t\u00e9 regroup\u00e9s dans un botnet utilisant une “menace insaisissable et grave” baptis\u00e9e HeadCrab depuis d\u00e9but septembre 2021.<\/p>\n

“Cet acteur de menace avanc\u00e9 utilise un malware de pointe, sur mesure, ind\u00e9tectable par les solutions antivirus sans agent et traditionnelles pour compromettre un grand nombre de serveurs Redis”, a d\u00e9clar\u00e9 Asaf Eitani, chercheur en s\u00e9curit\u00e9 chez Aqua. m’a dit<\/a> dans un rapport de mercredi.<\/p>\n

\u00c0 ce jour, une concentration importante d’infections a \u00e9t\u00e9 enregistr\u00e9e en Chine, en Malaisie, en Inde, en Allemagne, au Royaume-Uni et aux \u00c9tats-Unis. Les origines de l’acteur mena\u00e7ant sont actuellement inconnues.<\/p>\n

Les d\u00e9couvertes surviennent deux mois apr\u00e8s que la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud a fait la lumi\u00e8re sur un malware bas\u00e9 sur Go nomm\u00e9 Redigo qui compromettait les serveurs Redis.<\/p>\n

L’attaque est con\u00e7ue pour cibler les serveurs Redis qui sont expos\u00e9s \u00e0 Internet, suivie de l’\u00e9mission d’un Commande SLAVEOF<\/a> d’un autre serveur Redis qui est d\u00e9j\u00e0 sous le contr\u00f4le de l’adversaire.<\/p>\n

\"Logiciel<\/div>\n

Ce faisant, le serveur “ma\u00eetre” malveillant lance une synchronisation du serveur nouvellement pirat\u00e9 pour t\u00e9l\u00e9charger la charge utile malveillante, qui contient le logiciel malveillant sophistiqu\u00e9 HeadCrab.<\/p>\n

“L’attaquant semble cibler principalement les serveurs Redis et poss\u00e8de une compr\u00e9hension et une expertise approfondies des modules et des API Redis, comme le d\u00e9montre le malware”, a not\u00e9 Eitani.<\/p>\n

\"Logiciel<\/div>\n

Bien que l’objectif final de l’utilisation du logiciel malveillant r\u00e9sident en m\u00e9moire soit de d\u00e9tourner les ressources syst\u00e8me pour l’extraction de crypto-monnaie, il se vante \u00e9galement de nombreuses autres options qui permettent \u00e0 l’auteur de la menace d’ex\u00e9cuter des commandes shell, de charger des modules de noyau sans fichier et d’exfiltrer des donn\u00e9es vers une t\u00e9l\u00e9commande. serveur.<\/p>\n

De plus, une analyse de suivi du logiciel malveillant Redigo a r\u00e9v\u00e9l\u00e9 qu’il utilisait la m\u00eame technique ma\u00eetre-esclave pour la prolif\u00e9ration, et non la faille d’\u00e9chappement du bac \u00e0 sable Lua (CVE-2022-0543) comme pr\u00e9c\u00e9demment divulgu\u00e9.<\/p>\n

Il est recommand\u00e9 aux utilisateurs de s’abstenir d’exposer les serveurs Redis directement \u00e0 Internet, de d\u00e9sactiver la fonctionnalit\u00e9 “SLAVEOF” dans leurs environnements si elle n’est pas utilis\u00e9e et de configurer les serveurs pour n’accepter que les connexions d’h\u00f4tes de confiance.<\/p>\n

Eitani a d\u00e9clar\u00e9 que “HeadCrab persistera \u00e0 utiliser des techniques de pointe pour p\u00e9n\u00e9trer les serveurs, soit en exploitant des erreurs de configuration ou des vuln\u00e9rabilit\u00e9s”.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n