IoT reaper - botnet IoT à diffusion rapide

Les appareils IoT ont été ciblés par un nouveau bot malveillant  détecté la mi-Septembre dernier. À partir de ce moment, cette nouvelle famille de botnet IoT a continué à se mettre à jour et a commencé à récolter les dispositifs Iot vulnérables à un rythme rapide.

IoT Reaper - Apapeils IoT Ciblés

Le bot a emprunté le code du fameux botnet Mirai, mais il ne cible pas les mot de passe. Au lieu de cela, il se concentre uniquement sur l’exploitation des vulnérabilités des périphériques IoT. Il s’agit du botnet IoT_reaper.

IoT_reaper est assez grand maintenant et se développe activement. Par exemple, il y a plusieurs C2 que nous suivons, les données les plus récentes (19 octobre) provenant d’un seul C2 montrent que le nombre d’adresses IP de bot actives uniques est supérieur à 10k par jour. En même temps, des millions d’adresses IP de périphériques potentiellement vulnérables sont placées en file d’attente dans le système c2 en attente d’être traitées par un chargeur automatique qui injecte le code malveillant sur les périphériques pour étendre la taille du botnet.

Actuellement, ce botnet est encore dans ses premiers stades d’expansion. Mais l’auteur modifie activement le code, ce qui mérite notre vigilance.

Ici, nous partageons un résumé rapide afin que la communauté de sécurité puisse l’arrêter avant qu’il ne cause de plus gros dégâts.

Table Des Matières

Depuis Mirai à L’Au-delà De Mirai

Le botnet emprunte partiellement le code source mirai, mais est significativement différent de mirai dans plusieurs comportements clés, notamment:

  • Ne plus craquer aucun mot de passe faible, exploiter uniquement les vulnérabilités des périphériques IoT;
  • Un environnement d’exécution LUA intégré, de sorte que les attaques plus complexes peuvent être prises en charge et réalisées;
  • Le comportement d’analyse n’est pas très agressif, donc il peut rester sous le radar.

Livraison de l’échantillon,  distribution C2 et modèle de trafic

Take hxxp://162.211.183.192/sa as an example, IoT_reaper‘s sample delivery and C2 distribution are as follows. There is a downloader, quite different from Mirai:

  • téléchargeur: 162.211.183.192, des échantillons peuvent être téléchargés à partir de ce serveur et il utilise généralement « d » comme sous-domaine, comme d.hl852.com
  • controlleur: 27.102.101.121, qui peut contrôler les robots, envoyer des commandes et utilise généralement « e » comme sous-domaine, comme e.hl852.com
  • reporter: 222.112.82.231, qui est utilisé pour recevoir des informations de périphériques potentiellement vulnérables collectées par des robots, il utilise généralement « f » comme sous-domaine, comme f.hl852.com.
  • Loader (chargeur): 119.82.26.157, implante le programme de bot à travers des vulnérabilités dans des dispositifs collectés par le reporter

Les figures suivantes montrent le modèle de trafic des 4 adresses IP:

IoT Reaper - modèle de trafic des 4 adresses IP

9 Exploits de vulnérabilité IoT intégrés dans les logiciels malveillants

Contrairement à Mirai, qui utilise un faible mot de passe, IoT_reaper infecte les périphériques IoT en exploitant plusieurs vulnérabilités de périphériques IoT.

Nous avons remarqué que 9 exploits de vulnérabilité IoT ont été intégrés dans les échantillons actuels comme suit:

1 – Vulnérabilités multiples de D-Link 850L

Selon l’article posté dans le blog de SecuriTeam Secure Disclosure (SSD), —un programme de divulgation de la vulnérabilité mis en place en 2007 par Beyond Security. SSD acquiert des vulnérabilités haut de gamme à différents stades de la recherche, PoC et similaires; affectant les principaux systèmes d’exploitation, logiciels, périphériques. SSD les signale aux fournisseurs et à leurs clients— L’avis de SSD décrit trois (3) vulnérabilités trouvées dans le routeur D-Link 850L:

  • Remote Command Execution via WAN and LAN, trouvé par Zdenda
  • Divulgation d’informations distantes non authentifiées via WAN et LAN, trouvé par Peter Geissler
  • Exécution de code à distance non autorisée en tant que root via LAN trouvé par Pierre Kim

Comme réponse, le fournisseur a publié des correctifs pour remédier à ces vulnérabilités (Firmware: 1.14B07 BETA). Vous pouvez consulter le support du site de D-Link pour plus d’informations sur les micrologiciels correctifs.

2 – Goahead :Vulnérabilités multiples détectées dans La caméra IP sans fil (P2P) WIFICAM  et vulnérabilités au serveur http personnalisé

En analysant la sécurité d’une caméra, Pierre Kim a  trouvé une préautorisation RCE. Shodan répertorie 185 000 caméras vulnérables. Le protocole « Cloud » établit des tunnels UDP en texte clair (afin de contourner la NAT et les firewalls) entre l’attaquant et les caméras en utilisant uniquement le numéro de série de la caméra ciblée. Ensuite, l’attaquant peut automatiquement utiliser  les informations d’identification des caméras comme il veut.

Le produit en question est la fameuse caméra WIFICAM IP sans fil (P2P), la caméra Web chinoise qui permet de diffuser à distance.

Récapitulatif des vulnérabilités

La caméra IP sans fil (P2) WIFICAM est une caméra globalement mal conçue avec beaucoup de vulnérabilités. Cette caméra est très similaire à beaucoup d’autres caméras chinoises.

Il semble qu’un appareil générique est vendu par une entreprise chinoise en vrac (OEM) et les sociétés acheteuses les revendent avec un développement de logiciel personnalisé et une marque spécifique. Caméra IP sans fil (P2) WIFICAM est l’une de ces caméras.

Ainsi, les caméras sont vendues sous différents noms, marques et fonctions. L’interface HTTP est différente pour chaque fournisseur mais partage les mêmes vulnérabilités. Les fournisseurs OEM ont utilisé une version personnalisée de GoAhead et ajouté du code vulnérable à l’intérieur.

GoAhead a déclaré que la société n’est pas affecté par les vulnérabilités, mais le fournisseur OEM qui a fait le développement spécifique autour de GoAhead est responsable de la cause des vulnérabilités.

En raison de la réutilisation de code, les vulnérabilités sont présentes dans une énorme liste de caméras (en particulier l’InfoLeak et le RCE), qui permettent d’exécuter des commandes root contre plus de 1250 modèles de caméras avec une vulnérabilité de pré-authentification.

Pour plus d’informations à propos des détails de ces vulnérabilité visitez la page github de Pierre Kim.

3 – JAWS: Caméras de vidéosurveillance – CCTV Pwning

CCTV est omniprésente au Royaume-Uni. Une étude récente estime qu’il y a environ 1,85 million de caméras à travers le Royaume-Uni – la plupart dans des locaux privés. La plupart de ces caméras sont connectées à un DVR.

Les DVR prennent des flux vidéo provenant de plusieurs caméras et les stockent sur un lecteur. En plus d’afficher des images sur un écran, la plupart d’entre eux peuvent être consultés sur un réseau, ce qui permet aux utilisateurs de se connecter en utilisant un navigateur Web ou un client personnalisé.

Bien sûr, les propriétaires d’entreprise et les particuliers veulent accéder à leurs DVR à distance pour garder un œil sur les choses. Les DVR sont ouverts à l’Internet en utilisant le transfert de port, et pour cette raison, nous pouvons trouver des centaines de milliers d’entre eux rapidement et facilement sur Shodan.

Les DVR exécutent un serveur Web client qui a une en-tête de serveur HTTP très distinctif « JAWS / 1.0 ». En recherchant cela sur Shodan, nous pouvons trouver plus de 44 000 de ces appareils qui sont ou ont été connectés à Internet à un moment donné. Tous ne seront pas exactement les mêmes, mais il semble que beaucoup d’entre eux le sont.

les informations d’identification par défaut sont faibles, par défaut, le nom d’utilisateur est admin et le mot de passe est vide. Il semble seulement possible de changer le mot de passe en utilisant l’interface locale du DVR, connectée à un téléviseur. Il ne vient pas avec un clavier, il serait donc un pari sûr qu’un grand nombre de ces DVR utilisent toujours les mêmes informations d’identification par défaut. C’est un vieux problème ennuyeux, mais les informations d’identification par défaut sont la catastrophe du monde IoT. pour en savoir plus lisez “Caméras CCTV Pwning

4 – Netgear ReadyNAS Surveillance Exécution de commande à distance non authentifiée

C’est une vulnérabilité d’exécution de commande à distance non authentifiée détectée dans Netgear ReadyNAS Surveillance, par un chercheur en sécurité indépendant, Kacper Szurek qui l’a signalé au programme SecuriTeam Secure Disclosure de Beyond Security.

Netgear ReadyNAS Surveillance – Les petites entreprises et les succursales d’entreprise ont besoin d’un moyen sécurisé de protéger leurs actifs physiques, mais elles manquent souvent de l’expertise en matière de sécurité ou du gros budget dont la plupart des solutions ont besoin. Face à ces défis, NETGEAR présente ReadyNAS Surveillance, un logiciel d’enregistrement vidéo en réseau (NVR) facile à utiliser qui s’installe directement sur un périphérique de stockage ReadyNAS. Ajoutez un ensemble de caméras à un commutateur Power over Ethernet ProSafe et votre réseau de surveillance est opérationnel en un rien de temps.

Le fournisseur a répondu par la publication d’un correctif pour corriger cette vulnérabilité. Netgear a été informé de la vulnérabilité le 27 juin, mais tout en reconnaissant la réception de l’information de vulnérabilité, a refusé de répondre aux allégations techniques, de donner un calendrier fixe ou de coordonner un avis.

5 – Exécution de commande à distance NVR de Vacron

Cette vulnérabilité a été signalée par un chercheur en sécurité indépendant au programme SecuriTeam Secure Disclosure de Beyond Security. VACRON Spécialisé dans « divers types de surveillance mobile, système de surveillance CCTV, surveillance de système de surveillance d’image à distance IP et d’autres production connexe, et peut accepter ODM, OEM et autres commandes personnalisées, les principaux produits: enregistreur de conduite, CCTV système de surveillance analogique, CMS, IP Cam, etc. « 

Depuis le 5 septembre 2017, les tentatives répétées pour établir le contact avec Vacron sont restées sans réponse. À l’heure actuelle, il n’existe aucune solution, ni même pour contourner la vulnérabilité.

6 – Exécution de commande non authentifiée s elle consiste au ur les périphériques Netgear DGN

Cette vulnérabilité a été découverte par Roberto Paleari, elle consiste au contournement d’authentification, et à l’exécution de commande. C’est une vulnérabilité de sécurité qui affecte les produits et les versions des micrologiciels suivants:

* Netgear DGN1000, version du micrologiciel <1.1.00.48

* Netgear DGN2200 v1

Les autres produits et versions de firmware sont probablement également vulnérables, mais ils n’ont pas été vérifiés.

Les attaquants peuvent exploiter cette vulnérabilité pour contourner les mécanismes d’authentification existants et exécuter des commandes arbitraires sur les périphériques affectés, avec des privilèges root.

Pour DGN1000, Netgear a inclus un correctif pour ce problème dans la version 1.1.00.48 du micrologiciel. Selon Netgear, DGN2200 v1 n’est plus supporté, alors que v3 et v4 ne devraient pas être affectés par ce problème; ces versions n’ont pas été testées par  Roberto Paleari.

7 – Vulnérabilités multiples dans Linksys E1500 / E2500

Le Linksys E1500 est un routeur sans fil N avec SpeedBoost. Il vous permet d’accéder à Internet via une connexion sans fil ou via l’un de ses quatre ports commutés. Vous pouvez également utiliser le Linksys E1500 pour partager des ressources, telles que des ordinateurs, des imprimantes et des fichiers.

L’installation et l’utilisation du Linksys E1500 est facile avec Cisco Connect, le logiciel qui est installé lorsque vous exécutez le CD d’installation. De même, la configuration avancée du Linksys E1500 est disponible via sa page de configuration basée sur le Web.

Communiqués de micrologiciels vulnérables

e1500: Firmware-Version: v1.0.00, v1.0.04 et v1.0.05. Pour le e2500: Version du micrologiciel: v1.0.03 (testé uniquement pour l’injection de commande OS connue). Les autres versions peuvent également être affectées.

Présentation des vulnérabilités

OS Command Injection / E1500 et E2500 v1.0.03

=> Paramètre: ping_size =% 26ping% 20192% 2e168% 2e178% 2e102% 26

La vulnérabilité est causée par une validation d’entrée manquante dans le paramètre ping_size et peut être exploitée pour injecter et exécuter des commandes shell arbitraires. Il est possible de démarrer un telnetd ou de télécharger et d’exécuter une porte dérobée pour compromettre le périphérique.

Vous devez être authentifié auprès de l’appareil ou vous devez trouver d’autres méthodes pour insérer les commandes malveillantes.

Directory traversal (Traversée de répertoire) – testé sur E1500:

=> paramètre: next_page

Accédez aux fichiers locaux de l’appareil. Vous devez être authentifié ou vous devez trouver d’autres méthodes pour accéder à l’appareil.

Pour changer le mot de passe actuel, il n’y a pas de demande du mot de passe actuel – testé sur E1500

Avec cette vulnérabilité, un attaquant est capable de changer le mot de passe actuel sans le savoir. L’attaquant doit avoir accès à un navigateur authentifié.

Reflected Cross Site Scripting (Réfléchissement Cross Site Scripting) – testé sur E1500

=> Paramètre: wait_time = 3 ‘% 3balert (‘ pwnd ‘) //

L’injection de scripts dans le paramètre wait_time révèle que ce paramètre n’est pas correctement validé pour une entrée malveillante.

Redirection – testé sur E1500

=> Paramètre: submit_button = http: //www.pwned.pwned%0a

L’injection d’URL dans le paramètre submit_button révèle que ce paramètre n’est pas correctement validé pour une entrée malveillante.

Jusqu’à présent, aucune solution disponible pour ces vulnérabilité n’est connue.

Pour ceux ou celles qui veulent savoir plus à propos ces vulnérabilités Consultez la source (en anglais): Multiple Vulnerabilities in Linksys E1500/E2500

8 – Vulnérabilités multiples dans D’Link DIR-600 et DIR-300 (rev B)

D-Link® présente le routeur sans fil 150 (DIR-600), qui offre une connectivité sans fil hautes performances de bout en bout basée sur la technologie 802.11n. Le DIR-600 offre une meilleure couverture sans fil et des vitesses améliorées par rapport à la norme 802.11g *. La mise à niveau de votre réseau domestique vers Wireless 150 constitue une excellente solution pour améliorer les performances sans fil tout en partageant une connexion Internet haut débit avec plusieurs ordinateurs via un réseau sans fil sécurisé.

Présentation des vulnérabilités

OS Command Injection (non authentifié)

=> Paramètre cmd

La vulnérabilité est causée par des restrictions d’accès manquantes et une validation d’entrée manquante dans le paramètre cmd et peut être exploitée pour injecter et exécuter des commandes shell arbitraires. Il est possible de démarrer un telnetd pour compromettre l’appareil.

Vous n’avez pas besoin d’être authentifié auprès de l’appareil pour exécuter les commandes malveillantes. Vous pouvez préparer la requête entière et l’exécuter sans aucun détail d’authentification. Par exemple, vous pouvez démarrer telnetd sur d’autres ports et interfaces. Donc, avec cela, vous êtes en mesure d’obtenir un shell complet

Divulgation d’information

Bannière de serveur pour détecter ce type de périphériques facilement:

Server: Linux, HTTP/1.1, DIR-300 Ver 2.12

Server: Linux, HTTP/1.1, DIR-600 Ver 2.12

Pour changer le mot de passe actuel, il n’y a pas de demande au mot de passe actuel

Avec cette vulnérabilité, un attaquant est capable de changer le mot de passe actuel sans le savoir. L’attaquant doit avoir accès à un navigateur authentifié.

Stockage cryptographique non sécurisé

Il n’y a pas de hachage de mot de passe implémenté et donc il est sauvegardé en texte brut sur le système:

# cat var/passwd

« admin » « test » « 0 »

Positive Technologies a publié un avis en 2011 et D-Link a résolu ce problème:. Avec la version actuelle du firmware, les mots de passe sont stockés à nouveau en clair.

Si vous combinez la vulnérabilité de justificatif en texte brut avec la vulnérabilité d’injection de commande non authentifiée, vous obtiendrez le doublon suivant pour extraire le mot de passe d’administration de chaque périphérique vulnérable:

root@bt:~# curl –data « cmd=cat /var/passwd » http://<Target IP>/command.php

« admin » « THESECRETPASS » « 0 »

root@bt:~#

Divulgation d’information

Des informations détaillées sur le périphérique, notamment le nom du modèle, la version du matériel, le noyau Linux, la version du micrologiciel, la langue et les adresses MAC, sont disponibles via le réseau:

http://Target-IP/DevInfo.txt

ou essayez d’accéder à version.txt et jetez un oeil à la source html

HTTP/1.1 200 OK

Server: Linux, HTTP/1.1, DIR-600 Ver 2.14

Date: Fri, 31 Dec 1999 18:04:13 GMT

Content-Length: 267

Firmware External Version: V2.14

Firmware Internal Version: d1mg

Model Name: DIR-600

Hardware Version: Bx

WLAN Domain: 826

Kernel: 2.6.33.2

Language: en

Graphcal Authentication: Disable

LAN MAC: <snip>

WAN MAC: <snip>

WLAN MAC: <snip>

Ces détails sont disponibles sans authentification.

Divulgation du chemin local

Chaque information est intéressante pour l’attaquant. Avec ceci, nous aurons plus de détails sur le système d’exploitation et ses chemins.

Requête:

http://<IP>/router_info.xml

Réponse:

HTTP/1.1 200 OK

Server: Linux, HTTP/1.1, DIR-300 Ver 2.12

Date: Sat, 01 Jan 2000 21:22:43 GMT

Content-Type: text/xml

Content-Length: 49

EPHP: dophp(load,/htdocs/widget/.xml) ERROR (-1)

XSS stocké via l’Assistant WLAN et les détails de version

l’injection de scripts dans le paramètre SSID révèle que ce paramètre n’est pas correctement validé pour une entrée malveillante.

=> Paramètre: SSID

Le code injecté est exécuté si vous essayez d’accéder au fichier version.txt. Pour cela, vous n’avez pas besoin d’être authentifié 🙂

http://Target-IP/version.txt

Jusqu’à présent, aucune solution n’est disponible

Ces vulnérabilité ont été découvert par Michael Messner

9 – Avtech, multiples vulnérabilités

Plateformes / Firmware confirmés affectés

Chaque appareil Avtech (caméra IP, NVR, DVR) et la version du firmware. Consultez la la liste des versions de firmware confirmées, qui sont affectées.

AVTECH, fondée en 1996, est l’un des leaders mondiaux de la vidéosurveillance. Avec des revenus en hausse constante et une philosophie pratique de gestion d’entreprise, AVTECH a été classée comme la plus grande société cotée en bourse parmi l’industrie de surveillance de Taiwan. AVTECH met tout en œuvre pour innover en matière de technologie, de produit et de mise en œuvre. Basé sur des années de recherche et d’expérience dans l’industrie, AVTECH a obtenu une position de leader sur le support de plate-forme mobile et fournit une gamme complète de produits de surveillance.

Avtech est le deuxième terme de recherche le plus populaire à Shodan. Selon Shodan, plus de 130.000 appareils Avtech sont exposés à Internet.

Vulnérabilités

Stockage en clair du mot de passe administratif

Chaque mot de passe utilisateur est stocké en texte clair. Un attaquant ayant accès à l’appareil lui-même peut facilement obtenir la liste complète des mots de passe. En exploitant les problèmes d’injection de commandes ou de contournement d’authentification, le mot de passe administrateur en texte clair peut être récupéré.

Protection CSRF manquante

L’interface Web n’utilise aucune protection CSRF. Si une session valide existe pour l’utilisateur, l’attaquant peut modifier tous les paramètres de l’appareil via CSRF. S’il n’y a pas de session valide, mais que l’utilisateur n’a pas modifié le mot de passe administrateur par défaut, l’attaquant peut également se connecter en tant qu’administrateur via CSRF.

Divulgation d’informations non authentifiées

Sous le dossier / cgi-bin / nobody, chaque script CGI est accessible sans authentification.

POC:

GET /cgi-bin/nobody/Machine.cgi?action=get_capability

Exemple de réponse:

Firmware.Version=1011-1005-1008-1002

MACAddress=00:0E:53:xx:xx:xx

Product.Type=DVR

Product.ID=308B

Product.ShortName=V_full_Indep,V_Multistream

Video.System=PAL

Audio.DownloadFormat=ULAW

Video.Input.Num=8

Video.Output.Num=1

Video.Format=H264,MJPEG

Video.Format.Default=H264

Video.Resolution=4CIF,CIF

Video.Quality=BEST,HIGH,NORMAL,BASIC

Video.Local.Input.Num=8

Video.Local.Output.Num=1

Video.Local.Format=H264,MJPEG

Audio.Input.Num=8

Audio.Output.Num=1

Audio.Format=ULAW

Audio.Local.Input.Num=8

Audio.Local.Output.Num=1

Audio.Local.Format=PCM

Language.Default=ENGLISH

Language.Support=ENGLISH&CHINESE&JAPANESE&FRANCE&GERMAN&SPANISH&PORTUGUESE&ITALIAN&TURKISH&POLISH&RUSSIAN&CUSTOMIZE&THAI &VIETNAM&DUTCH&GREEK&ARABIC&CZECH&HUNGARIAN&HEBREW&CHINA&

Capability=D0,80,A,80

PushNotify.MaxChannel=8

SSRF non authentifié dans les appareils DVR

Dans le cas des appareils DVR, Search.cgi est accessible sans authentification. Ce service est responsable de la recherche et de l’accès aux caméras IP sur le réseau local. Dans les versions de firmware plus récentes, Search.cgi fournit l’action cgi_query, qui effectue une requête HTTP avec les paramètres spécifiés. En modifiant les paramètres ip, port et queryb64str, un attaquant peut effectuer des requêtes HTTP arbitraires via le périphérique DVR sans authentification.

POC: http://<device_ip>/cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==

Injection de commande non authentifiée dans les périphériques DVR

L’action cgi_query dans Search.cgi exécute des requêtes HTML avec la commande wget system, qui utilise les paramètres reçus sans nettoyage ni vérification. En exploitant cette faille, un attaquant peut exécuter n’importe quelle commande système avec les privilèges root sans authentification.

POC: http://<device_ip>/cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=LW==&username=admin%20;XmlAp%20r%20Account.User1.Password>$(ps|grep%20Search.cgi|grep%20-v%20grep|head%20-n%201|awk%20′{print%20″/tmp/ »$1″.log »}’);&password=admin

Contournement d’authentification

# 1 Les plugins de lecteur vidéo sont stockés en tant que fichiers .cab dans la racine Web, qui peut être accédée et téléchargée sans authentification. La vérification de demande de fichier cab dans le serveur web streamd est effectuée avec la fonction strstr, ce qui signifie qu’une requête ne devrait pas être authentifiée si elle contient la chaîne « .cab » n’importe où dans l’URL. Nous notons que certains des modèles contiennent une vérification supplémentaire dans CgiDaemon, qui permet un accès cgi non authentifié uniquement dans le dossier / cgi-bin / nobody.

POC:

http://<device_ip>/cgi-bin/user/Config.cgi?.cab&action=get&category=Account.*

# 2 Les scripts CGI dans le dossier / cgi-bin / nobody sont accessibles sans authentification (par exemple pour la connexion). Le serveur Web streamd vérifie si la requête peut être effectuée sans authentification en recherchant la chaîne « / nobody » dans l’URL avec la fonction strstr. Ainsi, si une requête contient la chaîne « / nobody » n’importe où dans l’URL, elle n’a pas besoin d’être authentifiée. Nous notons que certains des modèles contiennent une vérification supplémentaire dans CgiDaemon, qui permet un accès cgi non authentifié uniquement dans le dossier / cgi-bin / nobody.

POC:

http://<device_ip>/cgi-bin/user/Config.cgi?/nobody&action=get&category=Account.*

Téléchargement de fichier non authentifié à partir de la racine Web

Si un fichier cab est demandé, le serveur Web envoie le fichier sans le traiter. Comme le serveur Web streamd vérifie la requête du fichier cab en recherchant la chaîne « .cab » dans l’URL avec la fonction strstr, tout fichier (même les scripts cgi) de la racine web peut être téléchargé sans authentification.

POC: http://<device_ip>/cgi-bin/cgibox?.cab

Connection en contournant le Captcha

# 1 Pour éviter les tentatives de forçage brutal, les périphériques Avtech nécessitent un captcha pour les demandes de connexion. Toutefois, si les demandes de connexion contiennent le paramètre login = quick, la vérification captcha est ignorée.

POC: http://<device_ip>/cgi-bin/nobody/VerifyCode.cgi?account=<b64(username:password)>&login=quick

# 2 Au lieu d’utiliser un ID de session aléatoire, les périphériques Avtech utilisent le nom d’utilisateur et le mot de passe codés en base64 comme valeur de cookie. Étant donné que l’adresse IP de l’utilisateur connecté n’est pas stockée, si un attaquant définit le Cookie manuellement, la vérification captcha peut être contournée facilement.

Injection de commande authentifiée

# 1 CloudSetup.cgi: Les périphériques prenant en charge le cloud Avtech contiennent CloudSetup.cgi, accessible après l’authentification. Le paramètre exefile d’une requête CloudSetup.cgi spécifie la commande système à exécuter. Comme il n’y a pas de vérification ou de vérification basée sur une liste blanche du paramètre exefile, un attaquant peut exécuter des commandes système arbitraires avec des privilèges root.

POC:

http://<device_ip>/cgi-bin/supervisor/CloudSetup.cgi?exefile=ps

# 2 adcommand.cgi: Certains périphériques Avtech contiennent adcommand.cgi pour exécuter des commandes ActionD. L’adcommand.cgi est accessible après l’authentification. Dans les nouveaux périphériques, le démon ActionD fournit la fonction DoShellCmd, qui effectue un appel système avec les paramètres spécifiés. Comme il n’y a pas de vérification ou de vérification basée sur une liste blanche du paramètre de la fonction DoShellCmd, un attaquant peut exécuter des commandes système arbitraires avec des privilèges root.

POC: POST /cgi-bin/supervisor/adcommand.cgi HTTP/1.1

Host: <device_ip>

Content-Length: 23

Cookie: SSID=YWRtaW46YWRtaW4=

DoShellCmd « strCmd=ps& »

# 3 PwdGrp.cgi: Le fichier PwdGrp.cgi utilise le nom d’utilisateur, le mot de passe et les paramètres de groupe dans une nouvelle demande de création ou de modification d’utilisateur dans une commande système sans validation ni nettoyage. Ainsi

l’attaquant peut exécuter des commandes système arbitraires avec les privilèges root. Nous sommes conscients que cette vulnérabilité est exploitée dans la nature!

POC:http://<device_ip>/cgi-bin/supervisor/PwdGrp.cgi?action=add&user=test&pwd=;reboot;&grp=SUPERVISOR&lifetime=5%20MIN

HTTPS utilisé sans vérification de certificat

Les scripts SyncCloudAccount.sh, QueryFromClient.sh et SyncPermit.sh utilisent wget pour accéder aux sites HTTPS, tels que https://payment.eagleeyes.tw, en spécifiant le paramètre no-check-certificate. Ainsi, wget saute la vérification du certificat du serveur et une attaque MITM est possible contre la communication HTTPS

Notez qu’au cours des 3 derniers mois, l’attaquant a continuellement ajouté plus de nouveaux exploits dans des échantillons, dont l’un est adopté seulement 2 jours après la divulgation de la vulnérabilité.

  • Vacron NVR remote exploit a été exposé en 2017-10-08 et a été ajouté à l’échantillon de bot avant le 2017-10-10
  • Les exploits 3 et 1 sont ajoutés séparément dans deux mises à jour du 2017-10-12 et du 2017-10-16

L’environnement d’exécution LUA intégré dans les logiciels malveillants

Md5: CA92A3B74A65CE06035FCC280740DAF6

Basé sur l’environnement d’exécution LUA intégré, l’auteur sera capable d’écrire des scripts d’attaque très complexes et efficaces maintenant

Environ 100 DNS Open Resolvers ont été intégrés dans ce logiciel malveillant

Le botnet a intégré plus de 100 résolveurs DNS ouverts dans son échantillon de lua, de sorte que l’attaque d’amplification DNS peut être facilement réalisée. Et une vérification croisée avec notre flux de données DRDoS indique qu’environ un tiers de ces serveurs DNS ouverts ont été utilisés comme réflecteurs dans les attaques d’amplification DNS réelles. Nous n’avons pas encore vu ce type de configuration dans d’autres variantes mirai.

Aucune commande d’attaque DDoS observée jusqu’à maintenant

En termes de commande d’attaque, bien que nous ayons vu le support de l’attaque DDoS dans le fichier source de l’environnement d’exécution de Lua, nous n’avons pas encore vu d’attaque DDoS réelle. Les seules instructions que nous avons vu sont des téléchargements des échantillons. Cela signifie que l’attaquant se concentre toujours sur la propagation des botnets.

Mesure d’infection

En utilisant quelques astuces, nous sommes en mesure de tirer une mesure assez précise sur l’échelle de l’infection, voici un échantillon des nombres.

  • Nombre de périphériques vulnérables dans une file d’attente c2 en attente d’infection: plus de 2M
  • Bots infectés contrôlés par un c2 au cours des 7 derniers jours: plus de 20k
  • Nombre de bots actifs quotidiens contrôlés par un c2: environ 10k (19 octobre)
  • Nombre de bots en ligne simultanés contrôlés par un c2: environ 4k

Recommandations

Malheureusement, aucune solution n’est disponible pour ces vulnérabilités pour le moment. Vous pouvez prendre les mesures suivantes pour protéger votre appareil:

  • Changer le mot de passe administrateur par défaut
  • Ne jamais exposer l’interface Web d’un appareil Avtech à Internet

Ces vulnérabilités ont  été découvertes et étudiées par Gergely Eberhardt, dans un court laps de temps sans une approche systématique. En fonction des types de vulnérabilité que nous avons trouvés et de la qualité globale du code, les périphériques devraient contenir beaucoup plus de problèmes.

IOC –  Indicateurs de Compromis

Tout D’abord je dois vous dir qu’est ce que L’IoC ? vu que cela fait partie des concepts non connus par tout le monde. IoC est L’abréviation de Indicator of compromise en Français “Indicateur de compromis”.

En informatique forensics, c’est un artefact observé sur un réseau ou dans un système d’exploitation qui, en toute confiance, indique une intrusion informatique.

Les indicateurs de compromis peuvent être des signatures de virus et des adresses IP, des hachages MD5 de fichiers malveillants ou d’URL ou des noms de domaine des serveurs de commande et de contrôle de botnet. Une fois que les IOCs sont identifiés dans un processus de réponse aux incidents et de criminalistique informatique, ils peuvent être utilisés pour la détection précoce des tentatives de futures attaques en utilisant des systèmes de détection d’intrusion et un logiciel antivirus.

IOC d’urls

hxxp://cbk99.com:8080/run.lua

hxxp://bbk80.com/api/api.php

hxxp://103.1.221.40/63ae01/39xjsda.php

hxxp://162.211.183.192/down/server.armel

hxxp://162.211.183.192/sa

hxxp://162.211.183.192/sa5

hxxp://162.211.183.192/server.armel

hxxp://162.211.183.192/sm

hxxp://162.211.183.192/xget

hxxp://198.44.241.220:8080/run.lua

hxxp://23.234.51.91/control-ARM-LSB

hxxp://23.234.51.91/control-MIPS32-MSB

hxxp://23.234.51.91/htam5le

hxxp://23.234.51.91/htmpbe

hxxp://27.102.101.121/down/1506753086

hxxp://27.102.101.121/down/1506851514

IOC des hashes

3182a132ee9ed2280ce02144e974220a

3d680273377b67e6491051abe17759db

41ef6a5c5b2fde1b367685c7b8b3c154

4406bace3030446371df53ebbdc17785

4e2f58ba9a8a2bf47bdc24ee74956c73

596b3167fe0d13e3a0cfea6a53209be4

6587173d571d2a587c144525195daec9

6f91694106bb6d5aaa7a7eac841141d9

704098c8a8a6641a04d25af7406088e1

726d0626f66d5cacfeff36ed954dad70

76be3db77c7eb56825fe60009de2a8f2

95b448bdf6b6c97a33e1d1dbe41678eb

9ad8473148e994981454b3b04370d1ec

9f8e8b62b5adaf9c4b5bdbce6b2b95d1

a3401685d8d9c7977180a5c6df2f646a

abe79b8e66c623c771acf9e21c162f44

b2d4a77244cd4f704b65037baf82d897

ca92a3b74a65ce06035fcc280740daf6

e9a03dbde09c6b0a83eefc9c295711d7

f9ec2427377cbc6afb4a7ff011e0de77

fb7c00afe00eeefb5d8a24d524f99370

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.