La vulnérabilité critique Spring4Shell récemment divulguée est activement exploitée par les acteurs de la menace pour exécuter le malware du botnet Mirai, notamment dans la région de Singapour depuis le début du mois d’avril 2022.
« L’exploitation permet aux acteurs de la menace de télécharger l’échantillon Mirai dans le dossier ‘/tmp’ et de les exécuter après un changement de permission à l’aide de ‘chmod’« , indiquent les chercheurs de Trend Micro Deep Patel, Nitesh Surana, Ashish Verma dans un rapport publié vendredi.
Répertoriée sous le nom de CVE-2022-22965 (score CVSS : 9,8), la vulnérabilité pourrait permettre aux acteurs malveillants d’exécuter du code à distance dans les applications Spring Core dans des circonstances autres que celles prévues par défaut, ce qui donnerait aux attaquants le contrôle total des appareils compromis.
Cette évolution intervient alors que l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté en début de semaine la vulnérabilité Spring4Shell à son catalogue des vulnérabilités connues et exploitées, sur la base de « preuves d’exploitation active« .
C’est loin d’être la première fois que les opérateurs de botnets ont rapidement pris des mesures pour ajouter des failles nouvellement rendues publiques à leurs outils d’exploitation. En décembre 2021, plusieurs réseaux de zombies, dont Mirai et Kinsing, ont été découverts en train d’exploiter la vulnérabilité Log4Shell pour pénétrer dans des serveurs sensibles sur Internet.
Mirai, qui signifie « futur » en japonais, est le nom donné à un logiciel malveillant Linux qui a continué à cibler les appareils domestiques intelligents en réseau, tels que les caméras IP et les routeurs, et à les relier en un réseau d’appareils infectés connu sous le nom de botnet.
Le botnet IoT, utilisant le troupeau de matériel détourné, peut ensuite être utilisé pour commettre d’autres attaques, notamment des attaques de phishing à grande échelle, le minage de crypto-monnaies, la fraude au clic et des attaques par déni de service distribué (DDoS).
Pour ne rien arranger, la fuite du code source de Mirai en octobre 2016 a donné naissance à de nombreuses variantes telles que Okiru, Satori, Masuta et Reaper, ce qui en fait une menace en constante mutation.
« Le code [de Mirai] est si influent que même certaines ramifications de logiciels malveillants commencent à avoir leurs propres versions de code publiées et cooptées par d’autres cybercriminels« , ont déclaré les chercheurs d’Intel 471 le mois dernier, soulignant le téléchargement du code source du botnet BotenaGo sur GitHub en janvier 2022.
Plus tôt en janvier, la société de cybersécurité CrowdStrike a noté que les logiciels malveillants frappant les systèmes Linux ont augmenté de 35 % en 2021 par rapport à 2020, les familles de logiciels malveillants XOR DDoS, Mirai et Mozi représentant plus de 22 % des menaces ciblant Linux observées dans l’année.
« L’objectif principal de ces familles de logiciels malveillants est de compromettre des appareils vulnérables connectés à Internet, de les amasser en botnets et de les utiliser pour réaliser des attaques par déni de service distribué (DDoS)« , ont indiqué les chercheurs.