Posté le décembre 14, 2021 à 7:28
JUSQU’À 100 000 SERVEURS VOIP COMPROMIS PAR LE BOTNET EWDOOR, SELON LES CHERCHEURS
Les chercheurs de NetLab ont découvert une vulnérabilité sur les appareils AT&T qui a permis aux hackers d’implanter une souche de logiciel malveillant qui affecte 5 700 serveurs VoIP.
Selon le rapport, le logiciel malveillant, nommé EwDoor Botnet, cible les appareils du réseau Edgewater. Les hackers ont exploité une vulnérabilité non corrigé sur les serveurs EdgeMarc pour installer le logiciel malveillant.
Les chercheurs ont déclaré avoir découvert le botnet en octobre 2021 et le suivre depuis lors. Ils ont également déclaré que le botnet cible spécifiquement les victimes basées aux États-Unis.
Le botnet a utilisé une stratégie de redondance C2
Le botnet a exploité une vulnérabilité dans une page EdgeMarc cachée qui permet aux utilisateurs de définir des commandes personnalisées. Les hackers utilisent ensuite la page comme un webshell pour exécuter des commandes arbitraires, bien que le frontend n’ait pas été touché par la vulnérabilité.
En outre, les chercheurs ont déclaré que le botnet utilisait une stratégie de redondance C2 en téléchargeant des terminaux de serveur de commande et de contrôle via un traqueur BT.
Avant de livrer ses rapports sur les informations relatives aux appareils et d’exécuter les commandes connexes, le botnet décrypte le traqueur pour obtenir des serveurs C2.
En outre, le botnet déploie le cryptage TLS pour rester inaperçu et éviter d’être détecté par les chercheurs en sécurité. Il tente également de contourner les protocoles de sécurité et d’éviter toute interception de son trafic, ce qui permettrait aux chercheurs d’identifier ses caractéristiques.
Les chercheurs de NetLab ont également publié les hachages de fichiers et une liste d’indicateurs de compromission afin d’aider les autres entreprises et les sociétés de sécurité à détecter facilement une compromission potentielle.
Les chercheurs ont également noté que l’objectif du botnet est d’exécuter des attaques par déni de service distribué (DDoS) et de voler des informations vitales sur des serveurs VoIP déjà compromis.
AT&T affirme que la vulnérabilité n’a pas été utilisée dans des attaques
L’objectif principal du botnet EwDoor reste la fonctionnalité de backdoor et les attaques DDoS, bien qu’il ait subi plusieurs mises à jour depuis son développement. Selon les chercheurs, la dernière version comprend désormais d’autres fonctions telles que le reverse shell, la gestion de fichiers, l’analyse des ports et des mécanismes d’auto-actualisation.
AT&T a réagi aux résultats de la recherche en reconnaissant la vulnérabilité, ajoutant qu’elle prend des mesures pour limiter les risques auxquels sont exposés les serveurs VoIP exposés à Internet. Selon l’entreprise, la vulnérabilité et son exploitation éventuelle n’ont pas eu d’impact sur les données des clients, car aucune n’a été consultée. Le géant des télécommunications a également indiqué que la vulnérabilité n’a pas été exploitée et qu’aucune attaque n’a été enregistrée.
Toutefois, le responsable des solutions pour AppViewX, Murali Palanisamy, n’a pas partagé les assurances de sécurité de l’entreprise.
Il a déclaré qu’il y avait lieu de s’inquiéter du fait que des analyses effectuées à l’échelle de l’Internet montrent que plus de 100 000 appareils utilisent le même certificat SSL que celui utilisé par les serveurs VoIP EdgeMarc. Cependant, Palanisamy a ajouté qu’il est encourageant de voir qu’AT&T se penche sérieusement sur la situation qui a affecté plus de 5 700 serveurs VoIP dans son réseau.
Selon les chercheurs, la vulnérabilité est présente dans le serveur depuis près de quatre ans, mais les correctifs ont été publiés 18 mois plus tard, selon Casey Ellis, fondateur et directeur général de Bugcrowd.
D’autres serveurs VoIP pourraient être exploités
Les chercheurs de NetLab ont admis qu’ils n’avaient examiné que les requêtes effectuées par les serveurs VoIP affectés avant que le botnet ne se déplace vers un autre serveur C2. Les serveurs VoIP compromis ont été détectés et signalés en moins de trois heures. Mais ils ont noté que d’autres appareils pourraient être touchés. Après une analyse approfondie de l’Internet, il a été révélé que plus de 100 000 serveurs VoIP utilisant le même certificat SSL que les serveurs VoIP EdgeMarc risquent d’être exploités.
Les chercheurs ont ajouté qu’ils ne sont pas sûrs du nombre d’appareils ayant ces adresses IP qui pourraient être affectés par cette vulnérabilité. Mais d’après les spéculations, l’impact possible est réel puisqu’ils appartiennent à la même catégorie d’appareils.
Il a déclaré que la réutilisation de SSL montre que le certificat par défaut est copié avec l’application, ce qui fait que toute la famille étendue utilise le même certificat.
Les dispositifs utilisent un certificat SSL, qui sert à valider le dispositif de connexion et à vérifier s’il se connecte au bon système. Les certificats exposent les appareils aux protocoles de la couche d’application, ce qui permet des attaques inter-protocoles, a ajouté Palanisamy.
Il a suggéré qu’il est important pour l’entreprise d’essayer de sécuriser non seulement les 5 700 appareils, mais aussi des milliers d’autres appareils qui pourraient être compromis.
Il a également conseillé à AT&T de réinitialiser et de sécuriser ces milliers d’appareils, car l’entreprise n’est pas sûre de leur état de sécurité.
