Le code Mirai étant accessible au public, des attaquants et des développeurs ont créé de nombreuses variantes en ne modifiant qu’une petite partie du code source d’origine. Après l’importante cyberattaque des caméras connectées de Xiongmai ciblées par Mirai en octobre 2016, les chercheurs de NTT Security ont identifié en février une variante de Mirai installée sur des équipements IoT Xiongmai, plus précisément des caméras IP et des enregistreurs vidéo numériques (DVR).

Cette campagne ciblait la faille CVE-2017-7577, une vulnérabilité du service Xiongmai uc-httpd permettant l’exécution de code à distance via des requêtes http personnalisées.

Xiongmai est connu pour produire des équipements IoT offrant une sécurité insuffisante. Ce manque de sécurisation avait déjà été l’objet de plusieurs alertes de la part d’experts en sécurité à travers le monde. Pour NTT Security, les cyberattaquants sont inévitablement amenés à conduire d’autres opérations de reconnaissance afin de tenter de localiser partout sur Internet les appareils Xiongmai, ainsi que les composants Xiongmai contenus dans d’autres équipements IoT. Une fois ces appareils et composants découverts, les auteurs d’attaques vont probablement les exploiter afin d’y implanter des malwares IoT ou de les rattacher à un botnet.

Parmi les autres observations des experts du GTIC sur le mois de février :

• Alerte sur la vulnérabilité runC Container Escape
La vulnérabilité la plus notable a été découverte le 11 février dans une application open source : la vulnérabilité runC Container Escape (CVE-2019-57365), dont la note CVSS est relativement élevé (CVSS : 7.2).
Cette dernière a touché le logiciel runC. Le logiciel open source runC, qui a de nombreuses applications, est un composant essentiel de multiples logiciels de conteneurisation, comme par exemple Docker dont il permet de générer et d’exécuter des conteneurs sans avoir à exécuter un démon Docker.

Cette faille permet à un attaquant d’écraser le binaire runC sur le système hôte et, ainsi, de s’octroyer des permissions de niveau « root » afin de pouvoir exécuter du code arbitraire sur ce dernier. L’attaquant est alors à même d’exploiter la vulnérabilité au moyen d’un nouveau container qu’il contrôle ou bien d’un container existant sur lequel il dispose d’un accès en écriture.

La faille tient au mode d’interaction du binaire runC avec le système de fichiers de processus du container. Les chercheurs en sécurité ont découvert qu’en leurrant runC pour lui faire exécuter /proc/self/exe, qui est un lien symbolique vers le binaire runC, il est possible d’exécuter du code sur l’hôte. L’attaquant doit posséder des droits root à l’intérieur du container pour mettre à profit cette vulnérabilité, tandis que le code d’exploitation est disponible publiquement pour tirer parti de cette vulnérabilité.

• Nouvelle vulnérabilité SMB : CVE-2019-0630
Le 12 février 2019, une vulnérabilité de type RCE (Exécution de code à distance) dans Microsoft Server Message Block 2.0 (SMBv2) a été rendue publique. Exploitée avec succès, cette faille pourrait permettre à un assaillant d’exécuter du code à distance sur un serveur vulnérable au moyen d’un paquet spécialement créé à cette fin, en raison de la façon dont SMBv2 traite certaines requêtes.

Les serveurs SMB vulnérables constituent toujours une sérieuse menace pour une entreprise, comme l’a parfaitement illustré l’exploitation des failles ETERNALBLUE et DOUBLEPULSAR sur ces machines en 2017.

Les chercheurs du GTIC n’ont observé qu’un nombre restreint de tentatives d’exploitation de cette vulnérabilité spécifique et poursuivent leur analyse. NTT Security recommande l’application du correctif Microsoft suivant : msft-kb4486564-11fbac8f-a728-4e04-8372-8cddd6574ab0