Zerobot, un botnet qui infecte divers appareils de l’Internet des objets (IoT) et les utilise pour des attaques par déni de service distribué (DDoS), a été mis à jour avec de nouvelles fonctionnalités et de nouveaux mécanismes d’infection.
Un rapport (s’ouvre dans un nouvel onglet) de l’équipe de sécurité de Microsoft affirme que le logiciel malveillant utilisé pour intégrer les appareils IoT dans le botnet a atteint la version 1.1.
Avec cette mise à niveau, Zerobot peut désormais exploiter les failles trouvées dans Apache et Apache Spark pour compromettre divers points de terminaison et les utiliser plus tard dans les attaques. Les failles utilisées pour déployer Zerobot sont suivies comme CVE-2021-42013 et CVE-2022-33891.
Exploiter les failles d’Apache
CVE-2021-42013 est en fait une mise à niveau du correctif précédent, conçu pour corriger CVE-2021-41773 dans Apache HTTP Server 2.4.50.
Comme ce dernier était insuffisant, il a permis aux acteurs de la menace d’utiliser une attaque par traversée de chemin pour mapper les URL vers des fichiers en dehors des répertoires configurés par des directives de type Alias, explique le site cve.mitre.org. « Si les fichiers en dehors de ces répertoires ne sont pas protégés par la configuration par défaut habituelle « requiert tout refusé », ces requêtes peuvent aboutir. Si les scripts CGI sont également activés pour ces chemins avec alias, cela pourrait permettre l’exécution de code à distance. Ce problème affecte uniquement Apache 2.4.49 et Apache 2.4.50 et non les versions antérieures.
CVE-2022-33891, d’autre part, affecte l’interface utilisateur d’Apache Spark et permet aux attaquants d’effectuer des attaques d’usurpation d’identité en fournissant un nom d’utilisateur arbitraire, et finalement, permet aux attaquants d’exécuter des commandes shell arbitraires. Cela affecte les versions 3.0.3 et antérieures d’Apache Spark, les versions 3.1.1 à 3.1.2 et les versions 3.2.0 à 3.2.1, a expliqué cve.mitre.org.
La nouvelle version de Zerobot est également livrée avec de nouvelles capacités d’attaque DDoS, a expliqué Microsoft. Ces capacités permettent aux acteurs de la menace de cibler différentes ressources et de les rendre inaccessibles. Dans presque toutes les attaques, indique le rapport, le port de destination est personnalisable, ce qui permet aux pirates qui achètent le logiciel malveillant de modifier l’attaque comme bon leur semble.