Les pirates utilisent une vulnérabilité connue dans l’outil de surveillance des appareils Cacti pour installer toutes sortes de logiciels malveillants (s’ouvre dans un nouvel onglet) sur les points finaux vulnérables, ont affirmé les chercheurs.
Les chercheurs en cybersécurité de la Shadowserver Foundation ont repéré plusieurs tentatives de diffusion de divers logiciels malveillants via la vulnérabilité critique d’injection de commande, suivie sous le numéro CVE-2022-46169.
En abusant de la faille, qui a un indice de gravité de 9,8 (critique), les acteurs de la menace ont été observés en train de déployer le malware Mirai, ainsi que le botnet IRC. Certains acteurs de la menace ont été vus simplement en train de vérifier la vulnérabilité, peut-être en vue de futures attaques.
Des milliers d’instances non corrigées
Mirai est un malware qui cible principalement les appareils domestiques intelligents exécutant Linux, tels que les caméras IP et les routeurs domestiques, et les assimile au botnet Mirai. Le botnet peut ensuite être utilisé pour des attaques par déni de service distribué (DDoS), qui peuvent perturber les opérations et fermer les sites Web.
Le botnet IRC a été vu en train d’ouvrir un shell inversé sur l’hôte et de le faire analyser les ports du point de terminaison.
Au total, environ 10 tentatives d’exploitation ont été observées la semaine dernière.
Un rapport de Censys affirme qu’il existe plus de 6 000 instances Cacti non corrigées accessibles sur Internet, tout en ajoutant que plus de 1 600 sont non corrigées et donc vulnérables.
« Censys a observé 6 427 hôtes sur Internet exécutant une version de Cacti. Malheureusement, nous ne pouvons voir la version exacte du logiciel en cours d’exécution que lorsqu’un thème spécifique (sunrise) est activé sur l’application Web », a déclaré Censys. Cela étant dit, 1 637 hôtes ont été trouvés accessibles sur le Web et vulnérables à CVE-2022-46169, la majorité (465) exécutant la version 1.1.38, publiée il y a plus d’un an, a-t-il ajouté.
De plus, Censys n’a observé que 26 instances exécutant une version mise à jour qui n’était pas vulnérable.
Comme d’habitude, la meilleure façon de protéger vos appareils contre de telles attaques est de vous assurer que tous les logiciels exécutent la dernière version.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)