Des pirates ont trouvé un nouveau moyen d'introduire une porte dérobée sur les systèmes Windows en exploitant une vulnérabilité PHP critique

Qui permet l'exécution de code arbitraire à distance

Un acteur de la menace inconnu a récemment déployé une nouvelle porte dérobée baptisée Msupedge sur les systèmes Windows d'une université à Taïwan. Un rapport sur l'incident suggère que les attaquants ont probablement exploité une vulnérabilité PHP récemment corrigée, connue sous le nom de CVE-2024-4577. Cette vulnérabilité affecte principalement les installations Windows utilisant les langues chinoise et japonaise. L'exploitation réussie de la vulnérabilité peut conduire à l'exécution de code à distance. Au cours des derniers mois, les chercheurs ont observé que de nombreux acteurs de la menace recherchaient des systèmes vulnérables.

Une université de Taïwan visée par une nouvelle porte dérobée baptisée Msupedge

CVE-2024-4577 (Score CVSS : 9,8) est une faille critique d'injection d'arguments PHP-CGI corrigée en juin qui affecte les installations PHP fonctionnant sur des systèmes Windows avec PHP en mode CGI. Elle permet à des attaquants non authentifiés d'exécuter du code arbitraire et de compromettre complètement le système en cas d'exploitation réussie. Les auteurs de la menace ont diffusé le maliciel sous la forme de deux bibliothèques de liens dynamiques (weblog.dll et wmiclnt.dll), la première étant chargée par le processus Apache httpd.exe. La société de sécurité Symantec a fourni une analyse de l'incident.


La caractéristique la plus remarquable de Msupedge est l'utilisation du trafic DNS pour communiquer avec le serveur de commande et de contrôle (C&C). Bien que de nombreux gangs de pirates aient adopté cette technique par le passé, elle n'est pas couramment observée dans la nature. Selon le rapport de Symantec, le maliciel Msupedge exploite la tunnellisation DNS (une fonction mise en œuvre sur la base de l'outil open source dnscat2), qui permet d'encapsuler des données dans des requêtes et des réponses DNS afin de recevoir des commandes de la part de son serveur de commande et de contrôle.

Par rapport à des méthodes plus évidentes comme la tunnellisation HTTP ou HTTPS, cette technique peut être plus difficile à détecter, car le trafic DNS est généralement considéré comme bénin et est souvent ignoré par les outils de sécurité. Selon les experts en cybersécurité, les acteurs de la menace peuvent utiliser Msupedge pour exécuter diverses commandes, qui sont déclenchées sur la base du troisième octet de l'adresse IP résolue du serveur de commande et de contrôle.

Le rapport note que Msupedge prend également en charge plusieurs commandes, notamment la création de processus, le téléchargement de fichiers et la gestion de fichiers temporaires. Voici ci-dessous la liste des commandes prises en charge par la porte dérobée Msupedge :

• 0x8a : création d'un processus à l'aide d'une commande reçue via un enregistrement DNS TXT ;
• 0x75 : téléchargement d'un fichier à l'aide d'une URL de téléchargement reçue via un enregistrement DNS TXT ;
• 0x24 : mise en veille pendant un intervalle de temps prédéterminé ;
• 0x66 : mise en veille pendant un intervalle de temps prédéterminé ;
• 0x38 : création d'un fichier temporaire « %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp » dont le but est inconnu ;
• 0x3c : supprime le fichier « %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp ».

L'équipe Threat Hunter de Symantec, qui a enquêté sur l'incident et repéré le logiciel malveillant, pense que les attaquants ont accédé aux systèmes compromis après avoir exploité la vulnérabilité CVE-2024-4577. Cette faille de sécurité contourne les protections mises en place par l'équipe PHP pour la CVE-2012-1823, qui a été exploitée dans des attaques des années après sa remédiation pour cibler des serveurs Linux et Windows avec le logiciel malveillant RubyMiner.

« L'intrusion initiale s'est probablement faite par l'exploitation d'une vulnérabilité PHP récemment corrigée (CVE-2024-4577). Symantec a vu de nombreux acteurs de la menace rechercher des systèmes vulnérables au cours des dernières semaines. À ce jour, nous n'avons trouvé aucune preuve nous permettant d'attribuer cette menace et le motif de l'attaque reste inconnu », affirme l'équipe Threat Hunter de Symantec. Certains critiques accusent la Chine d'en être à l'origine.

Les chercheurs observent une augmentation des attaques de logiciels malveillants

Un jour après la publication des correctifs CVE-2024-4577 par les responsables du projet PHP, WatchTowr Labs a publié un code d'exploitation de type "preuve de concept" (PoC). Le même jour, la Shadowserver Foundation a signalé avoir observé des tentatives d'exploitation sur ses pots de miel. Toutefois, moins de 48 heures après la publication des correctifs, le gang du ransomware TellYouThePass a également commencé à exploiter la vulnérabilité pour déployer des Shell Web et chiffrer les systèmes des victimes. (Un Shell Web est un outil permettant aux pirates d'exécuter des commandes sur votre serveur Web.)


D'après une étude publiée récemment par Malwarebytes, au cours de l'année écoulée, les États-Unis ont connu une augmentation spectaculaire de 63 % des attaques de ransomware, et le Royaume-Uni une augmentation encore plus importante de 67 %. La part des attaques menées par des gangs n'appartenant pas au top 15 est passée de 25 % à 31 %, ce qui indique que les ransomwares sont de plus en plus accessibles à un plus grand nombre de cybercriminels.

Les États-Unis représentent désormais 48 % de l'ensemble des attaques de ransomware dans le monde, mais ils subissent 60 % des attaques contre le secteur de l'éducation et 71 % des attaques contre le secteur de la santé. Le secteur manufacturier a connu une augmentation de 71 % des attaques de ransomware d'une année sur l'autre, ce qui souligne la nécessité de mettre en place des mesures de cybersécurité solides dans l'industrie, qui cherche à se numériser.

Au début du mois de juin, des chercheurs ont découvert une campagne menée par des pirates soupçonnés d'être affiliés à l'État chinois, connue sous le nom de RedJuliett, qui visait des dizaines d'organisations à Taïwan, dont des universités, des agences d'État, des fabricants d'électronique et des organisations religieuses.

Comme beaucoup d'autres acteurs chinois de la menace, les chercheurs pensent que le groupe a probablement ciblé des vulnérabilités dans des dispositifs orientés vers Internet, tels que des pare-feu et des VPN d'entreprise, pour l'accès initial, car ces dispositifs ont souvent une visibilité et des solutions de sécurité limitées.

En août, un institut de recherche affilié au gouvernement taïwanais et travaillant sur des technologies sensibles a été violé par l'un des groupes de pirates les plus célèbres de la Chine, APT41. Les pirates ont déployé le logiciel malveillant ShadowPad et plusieurs outils supplémentaires écrits en chinois simplifié.

Source : rapport d'analyse

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des techniques exploitées par les pirates pour déployer la porte dérobée Msupedge ?
Quelles sont les habitudes que les utilisateurs et les organisations peuvent adopter pour se prémunir de ce type d'attaque ?
Selon vous, qu'est-ce qui pourrait expliquer l'augmentation des attaques de logiciels malveillants au cours des dernières années ?
Les pratiques en matière de sécurité ont-elles du plomb dans l'aile ? Ont-elles été dépassées par les efforts des acteurs de la menace ?

Voir aussi

Les attaques de ransomware augmentent de plus de 60 %, "les gangs de ransomwares ont le temps et la motivation de leur côté et évoluent constamment pour répondre aux dernières technologies"

Un groupe de renseignement iranien est pointé comme responsable du piratage de l'équipe de campagne de Donald Trump, selon un récent rapport du groupe d'analyse de menaces de Google

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises pour discuter de l'amélioration de la résilience des logiciels