{"id":828671,"date":"2023-07-13T12:35:00","date_gmt":"2023-07-13T14:35:00","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-faux-poc-pour-la-vulnerabilite-du-noyau-linux-sur-github-expose-les-chercheurs-a-des-logiciels-malveillants\/"},"modified":"2023-07-13T12:35:03","modified_gmt":"2023-07-13T14:35:03","slug":"un-faux-poc-pour-la-vulnerabilite-du-noyau-linux-sur-github-expose-les-chercheurs-a-des-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-faux-poc-pour-la-vulnerabilite-du-noyau-linux-sur-github-expose-les-chercheurs-a-des-logiciels-malveillants\/","title":{"rendered":"Un faux PoC pour la vuln\u00e9rabilit\u00e9 du noyau Linux sur GitHub expose les chercheurs \u00e0 des logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Linux \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Signe que les chercheurs en cybers\u00e9curit\u00e9 continuent d&#8217;\u00eatre sous le radar des acteurs malveillants, une preuve de concept (PoC) a \u00e9t\u00e9 d\u00e9couverte sur GitHub, dissimulant une porte d\u00e9rob\u00e9e avec une m\u00e9thode de persistance &#8220;rus\u00e9e&#8221;.<\/p>\n<p>&#8220;Dans ce cas, le PoC est un loup d\u00e9guis\u00e9 en mouton, nourrissant une intention malveillante sous le couvert d&#8217;un outil d&#8217;apprentissage inoffensif&#8221;, ont d\u00e9clar\u00e9 les chercheurs d&#8217;Uptycs Nischay Hegde et Siddartha Malladi. <a rel=\"nofollow noopener\" href=\"https:\/\/www.uptycs.com\/blog\/new-poc-exploit-backdoor-malware\" target=\"_blank\">a dit<\/a>.  &#8220;Fonctionnant comme un t\u00e9l\u00e9chargeur, il vide et ex\u00e9cute silencieusement un script bash Linux, tout en d\u00e9guisant ses op\u00e9rations en processus au niveau du noyau.&#8221;<\/p>\n<p>Le <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ChriSanders22\/CVE-2023-35829-poc\/\" target=\"_blank\">d\u00e9p\u00f4t<\/a> se fait passer pour un PoC pour <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-35829\" target=\"_blank\">CVE-2023-35829<\/a>, une faille de haute gravit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9e dans le noyau Linux.  Il a depuis \u00e9t\u00e9 d\u00e9mont\u00e9, mais pas avant d&#8217;avoir \u00e9t\u00e9 bifurqu\u00e9 25 fois. <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ChriSanders22\/CVE-2023-20871-poc\/\" target=\"_blank\">Un autre PoC<\/a> partag\u00e9 par le m\u00eame compte, ChrisSanders22, pour <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-20871\" target=\"_blank\">CVE-2023-20871<\/a>un bogue d&#8217;escalade de privil\u00e8ges affectant VMware Fusion, a \u00e9t\u00e9 fork\u00e9 deux fois.<\/p>\n<p>Uptypcs a \u00e9galement identifi\u00e9 un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/apkc\/CVE-2023-35829-poc\" target=\"_blank\">deuxi\u00e8me profil GitHub<\/a> contenant un faux PoC pour CVE-2023-35829.  Il est toujours disponible au moment de la r\u00e9daction et a \u00e9t\u00e9 bifurqu\u00e9 19 fois.  Un examen plus approfondi de la <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/apkc\/CVE-2023-35829-poc\/commits\/main\" target=\"_blank\">historique de validation<\/a> montre que les modifications ont \u00e9t\u00e9 pouss\u00e9es par ChriSanders22, ce qui sugg\u00e8re qu&#8217;il a \u00e9t\u00e9 d\u00e9riv\u00e9 du r\u00e9f\u00e9rentiel d&#8217;origine.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689258899_598_Un-faux-PoC-pour-la-vulnerabilite-du-noyau-Linux-sur.jpg\" alt=\"Vuln\u00e9rabilit\u00e9 du noyau Linux\" border=\"0\" data-original-height=\"352\" data-original-width=\"728\" title=\"Vuln\u00e9rabilit\u00e9 du noyau Linux\"\/><\/div>\n<p>La porte d\u00e9rob\u00e9e est dot\u00e9e d&#8217;un large \u00e9ventail de fonctionnalit\u00e9s pour voler des donn\u00e9es sensibles \u00e0 des h\u00f4tes compromis et permettre \u00e0 un acteur malveillant d&#8217;obtenir un acc\u00e8s \u00e0 distance en ajoutant sa cl\u00e9 SSH au fichier .ssh\/authorized_keys.<\/p>\n<p>&#8220;Le PoC nous propose d&#8217;ex\u00e9cuter une commande make qui est un outil d&#8217;automatisation utilis\u00e9 pour compiler et cr\u00e9er des ex\u00e9cutables \u00e0 partir de fichiers de code source&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Mais dans le Makefile r\u00e9side un extrait de code qui construit et ex\u00e9cute le malware. Le malware nomme et ex\u00e9cute un fichier nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@boutnaru\/the-linux-process-journey-kworker-f947634da73\" target=\"_blank\">kworker<\/a>qui ajoute le chemin $HOME\/.local\/kworker dans $HOME\/.bashrc, \u00e9tablissant ainsi sa persistance.&#8221;<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>Le d\u00e9veloppement intervient pr\u00e8s d&#8217;un mois apr\u00e8s que VulnCheck a d\u00e9couvert un certain nombre de faux comptes GitHub se faisant passer pour des chercheurs en s\u00e9curit\u00e9 pour distribuer des logiciels malveillants sous le couvert d&#8217;exploits PoC pour des logiciels populaires tels que Discord, Google Chrome, Microsoft Exchange Server, Signal et WhatsApp.<\/p>\n<p>Il est recommand\u00e9 aux utilisateurs qui ont t\u00e9l\u00e9charg\u00e9 et ex\u00e9cut\u00e9 les PoC d&#8217;utiliser des cl\u00e9s SSH non autoris\u00e9es, de supprimer le fichier kworker, d&#8217;effacer le chemin kworker du fichier bashrc et de v\u00e9rifier \/tmp\/.iCE-unix.pid pour les menaces potentielles.<\/p>\n<p>&#8220;Bien qu&#8217;il puisse \u00eatre difficile de distinguer les PoC l\u00e9gitimes des trompeurs, l&#8217;adoption de pratiques s\u00fbres telles que les tests dans des environnements isol\u00e9s (par exemple, des machines virtuelles) peut fournir une couche de protection&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/blog-post.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juil. 2023\ue804THNLinux \/ Vuln\u00e9rabilit\u00e9 Signe que les chercheurs en cybers\u00e9curit\u00e9 continuent d&#8217;\u00eatre sous le radar des acteurs malveillants, une preuve de concept (PoC) a \u00e9t\u00e9 d\u00e9couverte sur GitHub, dissimulant une porte d\u00e9rob\u00e9e avec une m\u00e9thode de persistance &#8220;rus\u00e9e&#8221;. &#8220;Dans ce cas, le PoC est un loup d\u00e9guis\u00e9 en mouton, nourrissant une intention malveillante sous [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":828672,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,4158,4165,4161,133,16209,5971,50438,4157,4159,4171,4170,65,18088,4167,4589,4590,4160,4163,4162,6778,54039,185,4172,4169,60,4166,3667,4164],"class_list":["post-828671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-expose","tag-faux","tag-github","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-noyau","tag-poc","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/828671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=828671"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/828671\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/828672"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=828671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=828671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=828671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}