TOOLinux

Le journal du Libre

Echobot : attaque de grande envergure contre des dispositifs IoT

mercredi 18 septembre 2019

Un éditeur de solutions de sécurité met en garde les entreprises contre Echobot, une nouvelle variante du botnet IoT Mirai, qui a déclenché des attaques de grande envergure contre toute une série de dispositifs IoT. Et fait le point sur les vulnérabilités les plus importantes du moment.

Repéré pour la première fois en mai 2019, Echobot a exploité plus de 50 vulnérabilités différentes, provoquant une forte augmentation de la vulnérabilité “Command Injection Over HTTP” qui a touché 34% des entreprises à travers le monde.

Le mois d’août a vu la réactivation de l’infrastructure autorisant le déploiement du botnet Emotet, après que ses opérations ont été arrêtées deux mois auparavant. Emotet avait été le plus important botnet actif au premier semestre 2019. Bien qu’aucune campagne majeure n’ait encore été observée à ce jour, il est vraisemblable que l’infrastructure sera à nouveau utilisée afin de lancer des campagnes de pourriels à brève échéance.

La liste complète des 10 principales familles de maliciels pour le mois d’août est disponible sur le blog de Check Point Blog.

Top 3 des maliciels “les plus recherchés”

- 1. ↔ XMRig – XMRig est un logiciel open source de minage de CPU utilisé pour le processus de minage de la crypto-monnaie Monero ; il a été repéré pour la première fois en mai 2017.
- 2. ↔ Jsecoin – Jsecoin est un mineur JavaScript qui peut être encapsulé dans des sites Internet. JSEcoin peut opérer directement à partir des navigateurs des utilisateurs en échange d’une expérience publicitaire gratuite, d’une monnaie enchâssée dans un jeu ou d’autres leurres.
- 3. ↔ Dorkbot – Dorkbot est un ver basé sur IRC conçu en vue de permettre à son concepteur d’exécuter du code à distance ainsi que le téléchargement de maliciels supplémentaires dans le système infecté.



Top 3 des maliciels mobiles “les plus recherchés”

- 1. Lotoor – Outil de piratage qui exploite des vulnérabilités présentes dans le système d’exploitation Android afin d’obtenir des privilèges “root” sur des dispositifs mobiles infectés.
- 2. AndroidBauts – Publiciel qui vise les utilisateurs Android, exfiltrant des informations IMEI, IMSI, de localisation GPS ou autres, concernant les dispositifs, et qui ouvre la voie à l’installation d’applis tierces et de raccourcis sur des équipements mobiles.
- 3. Triada – Porte dérobée modulaire pour environnement Android qui octroie des privilèges de super-utilisateur à des maliciels téléchargés, les aidant à se greffer dans des processus système. Triada a également été surpris espionnant des URL dans le navigateur.

Vulnérabilités les “plus exploitées”

Les techniques d’injection SQL ont confirmé leur première place au sommet de la liste des vulnérabilités les plus exploitées, suivies de près par la vulnérabilité OpenSSL TLS DTLS Heartbeat Information Disclosure ; toutes deux ont touché 39% des entreprises à l’échelle mondiale. En troisième position, on pointera la vulnérabilité MVPower DVR Remote Code Execution, avec un impact planétaire atteignant 38% des entreprises dans le monde.

- 1. ↔ Injection SQL (diverses techniques) – Insertion de contenu dans une requête SQL du client vers l’application, tout en exploitant une faille de sécurité dans le logiciel de l’application.
- 2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160 ; CVE-2014-0346) – Vulnérabilité de type divulgation d’information existant au sein d’OpenSSL. La vulnérabilité est due à une erreur dans le traitement de paquets de pulsation TLS/DTLS. Un pirate peut tirer parti de cette vulnérabilité afin de divulguer le contenu de la mémoire d’un serveur ou d’un client connecté.
- 3. ↔ MVPower DVR Remote Code Execution – Vulnérabilité d’exécution de code à distance touchant des équipements DVR MVPower. Un pirate, opérant à distance, peut exploiter cette faille afin d’exécuter du code arbitraire dans le routeur infecté au moyen d’une requête conçue spécifiquement à cet effet.



Méthodologie

L’Indice international d’Impact des Menaces de Check Point et sa carte ThreatCloud sont alimentés par les analyses ThreatCloud de l’éditeur. La base de données ThreatCloud contient plus de 250 millions d’adresses analysées afin de détecter des bots, plus de 11 millions de signatures de maliciels et plus de 5,5 millions de sites Internet infectés. Elle identifie par ailleurs chaque jour des millions de types de maliciels.