Sécurité Linux

Ce matin, je découvre un communiqué de presse qui nous explique Linux n'est plus du tout épargné par les virus. Les virus visent le plus souvent des serveurs. Il faut dire que nous ne sommes qu'une poignée à utiliser Linux comme système sur notre PC.

Le but de ces virus est de créer des botnet. Linux n'est pas vraiment attaqué frontalement, mais on passe par des programmes installés comme le Zend Framework (en clair beaucoup de site web en php sont concernés).

Voici le communiqué de presse dans son intégralité :

Les utilisateurs de Linux doivent appliquer des correctifs dès maintenant pour bloquer les nouveaux logiciels malveillants "FreakOut" qui exploitent de nouvelles vulnérabilités

Récemment, Check Point Research (CPR) a rencontré plusieurs attaques qui exploitent de multiples vulnérabilités sur les appareils Linux, y compris certaines failles récemment découvertes. Ces attaques en cours impliquent une nouvelle variante de logiciel malveillant, appelée "FreakOut". L'objectif de ces attaques est de créer un botnet IRC (un ensemble de machines infectées par des logiciels malveillants qui peuvent être contrôlées à distance), qui peut ensuite être utilisé pour des activités malveillantes, comme le lancement d'attaques DDoS (attaque par déni de service) sur les réseaux d'autres organisations, ou pour des activités de crypto-minage sur les machines infectées, qui peuvent potentiellement arrêter des systèmes entiers infectés.

Les attaques visent les appareils Linux qui exécutent l'un des produits suivants, qui présentent tous des vulnérabilités relativement nouvelles qui sont exploitées par le malware FreakOut si les produits n'ont pas été corrigés :

· TerraMaster TOS (TerraMaster Operating System), un fournisseur bien connu de dispositifs de stockage de données

· Zend Framework, une collection populaire de progiciels de bibliothèque, utilisée pour la création d'applications web

· Liferay Portal, un portail d'entreprise gratuit et à code source ouvert, avec des fonctionnalités permettant de développer des portails et des sites web

S'il est exploité avec succès, chaque dispositif infecté par le malware FreakOut peut être utilisé comme une plate-forme d'attaque contrôlée à distance par les acteurs de la menace derrière l'attaque, leur permettant de cibler d'autres dispositifs vulnérables pour étendre leur réseau de machines infectées. Les capacités du logiciel malveillant FreakOut comprennent l'analyse des ports, la collecte d'informations, la création et l'envoi de paquets de données, le reniflage du réseau et la capacité de lancer des attaques DDoS et d'inondation du réseau.

L'attentat exploite les CVE suivants :

· CVE-2020-28188 – publié le 28/12/20 - TerraMaster TOS

· CVE-2021-3007 – publié le 3/1/21 - Zend Framework

· CVE-2020-7961 – publié le 20/03/20 - Portail Liferay

Des correctifs sont disponibles pour tous les produits concernés par ces CVE, et il est conseillé aux utilisateurs de ces produits de vérifier d'urgence tous les dispositifs qu'ils utilisent, de les mettre à jour et de les corriger pour fermer ces vulnérabilités.

L'impact de FreakOut

Sur la base de notre examen du code, l'attaquant peut utiliser les systèmes compromis par FreakOut pour d'autres activités malveillantes, telles que le crypto-minage, la propagation latérale à travers les réseaux d'entreprise, ou le lancement d'attaques DDoS sur les réseaux d'autres organisations, qui peuvent arrêter l'ensemble des systèmes infectés.

Nos recherches ont révélé que le serveur principal de C&C de la campagne d'attaque avait été piraté avec environ 185 appareils.

Entre le 8 et le 13 janvier, nous avons assisté à plus de 380 tentatives d'attaque contre des clients de Check Point, et toutes ont été bloquées par les solutions de Check Point. Selon notre réseau mondial de capteurs de menaces, les zones géographiques les plus visées étaient l'Amérique du Nord et l'Europe occidentale.

Pays

Pourcentages

US

27.01%

IT

6.61%

GB

5.46%

NL

5.17%

CN

4.89%

BR

3.74%

DE

3.45%

ES

3.45%

RU

3.45%

SG

3.16%

Les secteurs industriels les plus ciblés sont la finance, le gouvernement et les organismes de santé.

Industrie

Percentage

Finance/Banque

26.47%

Gouvernement/Militaire

23.53%

Soins de santé

19.33%

Commerce de détail/en gros

8.82%

Assurance/juridique

5.04%

Éducation/Recherche

3.36%

Fabrication

2.52%

Transport

2.52%

Protections

Les clients de Check Point sont protégés de cette attaque par ces protections :

IPS

· TerraMaster TOS Command Injection (CVE-2020-28188).

· Désérialisation non sécurisée du portail Liferay (CVE-2020-7961).

· Exécution de code à distance Zend Framework (CVE-2021-3007).

· Injection CMD via HTTP

TH

· N3Cr0m0rPh.TC.a

· Botnet.Win32.N3Cr0m0rPh.TC.a

AB

· Trojan.Win32.IRC.G

TerraMaster confirme que les corrections seront mises en œuvre dans la version 4.2.07. Les utilisateurs de Liferay Portal doivent effectuer une mise à niveau vers Liferay Portal 7.2 CE GA2 (7.2.1) ou une version ultérieure. Le cadre Zen devrait utiliser la version 2.14.x du correctif (patch)

Conseils de sécurité pour rester protégé

· Nous recommandons vivement aux utilisateurs de vérifier et de corriger leurs serveurs et leurs périphériques Linux afin d'empêcher l'exploitation de ces vulnérabilités par FreakOut

· Les systèmes de prévention des intrusions (IPS) empêchent les tentatives d'exploitation des faiblesses des systèmes ou applications vulnérables, vous protégeant ainsi dans la course à l'exploitation de la dernière menace de rupture. La mise à jour des IPS permet à votre organisation de rester protégée.

· Protection des EndPoints : L'antivirus conventionnel basé sur les signatures est une solution très efficace pour prévenir les attaques connues et doit absolument être mis en œuvre dans toute organisation, car il protège contre la majorité des attaques de logiciels malveillants auxquelles une organisation est confrontée.

· Une protection complète et avancée des points d'accès au plus haut niveau de sécurité est essentielle pour éviter les failles de sécurité et la compromission des données

Conclusion

"FreakOut" est une campagne d'attaque qui exploite trois vulnérabilités, dont certaines nouvellement publiées, pour compromettre différents serveurs. L'auteur de la menace, nommé "Freak", a réussi à infecter de nombreux appareils en peu de temps et à les intégrer dans un botnet, qui à son tour pourrait être utilisé pour des attaques DDoS et du crypto-minage. De telles campagnes d'attaque soulignent l'importance et la signification du contrôle et de la protection de vos biens en permanence. Cette campagne permanente peut se répandre rapidement, comme nous l'avons vu.

Comments powered by CComment

We use cookies

Nous utilisons des cookies sur notre site web. Certains d’entre eux sont essentiels au fonctionnement du site et d’autres nous aident à améliorer ce site et l’expérience utilisateur (cookies traceurs). Vous pouvez décider vous-même si vous autorisez ou non ces cookies. Merci de noter que, si vous les rejetez, vous risquez de ne pas pouvoir utiliser l’ensemble des fonctionnalités du site.