Discussion :

[Mathis Lucas]

Des pirates ont trouvé un nouveau moyen d'introduire une porte dérobée sur les systèmes Windows en exploitant une vulnérabilité PHP critique
qui permet l'exécution de code arbitraire à distance

Un acteur de la menace inconnu a récemment déployé une nouvelle porte dérobée baptisée Msupedge sur les systèmes Windows d'une université à Taïwan. Un rapport sur l'incident suggère que les attaquants ont probablement exploité une vulnérabilité PHP récemment corrigée, connue sous le nom de CVE-2024-4577. Cette vulnérabilité affecte principalement les installations Windows utilisant les langues chinoise et japonaise. L'exploitation réussie de la vulnérabilité peut conduire à l'exécution de code à distance. Au cours des derniers mois, les chercheurs ont observé que de nombreux acteurs de la menace recherchaient des systèmes vulnérables.

Une université de Taïwan visée par une nouvelle porte dérobée baptisée Msupedge

CVE-2024-4577 (Score CVSS : 9,8) est une faille critique d'injection d'arguments PHP-CGI corrigée en juin qui affecte les installations PHP fonctionnant sur des systèmes Windows avec PHP en mode CGI. Elle permet à des attaquants non authentifiés d'exécuter du code arbitraire et de compromettre complètement le système en cas d'exploitation réussie. Les auteurs de la menace ont diffusé le maliciel sous la forme de deux bibliothèques de liens dynamiques (weblog.dll et wmiclnt.dll), la première étant chargée par le processus Apache httpd.exe. La société de sécurité Symantec a fourni une analyse de l'incident.

Récupération de l'adresse IP résolue

La caractéristique la plus remarquable de Msupedge est l'utilisation du trafic DNS pour communiquer avec le serveur de commande et de contrôle (C&C). Bien que de nombreux gangs de pirates aient adopté cette technique par le passé, elle n'est pas couramment observée dans la nature. Selon le rapport de Symantec, le maliciel Msupedge exploite la tunnellisation DNS (une fonction mise en œuvre sur la base de l'outil open source dnscat2), qui permet d'encapsuler des données dans des requêtes et des réponses DNS afin de recevoir des commandes de la part de son serveur de commande et de contrôle.

Par rapport à des méthodes plus évidentes comme la tunnellisation HTTP ou HTTPS, cette technique peut être plus difficile à détecter, car le trafic DNS est généralement considéré comme bénin et est souvent ignoré par les outils de sécurité. Selon les experts en cybersécurité, les acteurs de la menace peuvent utiliser Msupedge pour exécuter diverses commandes, qui sont déclenchées sur la base du troisième octet de l'adresse IP résolue du serveur de commande et de contrôle.

Le rapport note que Msupedge prend également en charge plusieurs commandes, notamment la création de processus, le téléchargement de fichiers et la gestion de fichiers temporaires. Voici ci-dessous la liste des commandes prises en charge par la porte dérobée Msupedge :

• 0x8a : création d'un processus à l'aide d'une commande reçue via un enregistrement DNS TXT ;
• 0x75 : téléchargement d'un fichier à l'aide d'une URL de téléchargement reçue via un enregistrement DNS TXT ;
• 0x24 : mise en veille pendant un intervalle de temps prédéterminé ;
• 0x66 : mise en veille pendant un intervalle de temps prédéterminé ;
• 0x38 : création d'un fichier temporaire « %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp » dont le but est inconnu ;
• 0x3c : supprime le fichier « %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp ».

L'équipe Threat Hunter de Symantec, qui a enquêté sur l'incident et repéré le logiciel malveillant, pense que les attaquants ont accédé aux systèmes compromis après avoir exploité la vulnérabilité CVE-2024-4577. Cette faille de sécurité contourne les protections mises en place par l'équipe PHP pour la CVE-2012-1823, qui a été exploitée dans des attaques des années après sa remédiation pour cibler des serveurs Linux et Windows avec le logiciel malveillant RubyMiner.

« L'intrusion initiale s'est probablement faite par l'exploitation d'une vulnérabilité PHP récemment corrigée (CVE-2024-4577). Symantec a vu de nombreux acteurs de la menace rechercher des systèmes vulnérables au cours des dernières semaines. À ce jour, nous n'avons trouvé aucune preuve nous permettant d'attribuer cette menace et le motif de l'attaque reste inconnu », affirme l'équipe Threat Hunter de Symantec. Certains critiques accusent la Chine d'en être à l'origine.

Les chercheurs observent une augmentation des attaques de logiciels malveillants

Un jour après la publication des correctifs CVE-2024-4577 par les responsables du projet PHP, WatchTowr Labs a publié un code d'exploitation de type "preuve de concept" (PoC). Le même jour, la Shadowserver Foundation a signalé avoir observé des tentatives d'exploitation sur ses pots de miel. Toutefois, moins de 48 heures après la publication des correctifs, le gang du ransomware TellYouThePass a également commencé à exploiter la vulnérabilité pour déployer des Shell Web et chiffrer les systèmes des victimes. (Un Shell Web est un outil permettant aux pirates d'exécuter des commandes sur votre serveur Web.)

Le comportement de la porte dérobée Msupedge change en fonction des valeurs du troisième octet de l'adresse IP moins sept

D'après une étude publiée récemment par Malwarebytes, au cours de l'année écoulée, les États-Unis ont connu une augmentation spectaculaire de 63 % des attaques de ransomware, et le Royaume-Uni une augmentation encore plus importante de 67 %. La part des attaques menées par des gangs n'appartenant pas au top 15 est passée de 25 % à 31 %, ce qui indique que les ransomwares sont de plus en plus accessibles à un plus grand nombre de cybercriminels.

Les États-Unis représentent désormais 48 % de l'ensemble des attaques de ransomware dans le monde, mais ils subissent 60 % des attaques contre le secteur de l'éducation et 71 % des attaques contre le secteur de la santé. Le secteur manufacturier a connu une augmentation de 71 % des attaques de ransomware d'une année sur l'autre, ce qui souligne la nécessité de mettre en place des mesures de cybersécurité solides dans l'industrie, qui cherche à se numériser.

Au début du mois de juin, des chercheurs ont découvert une campagne menée par des pirates soupçonnés d'être affiliés à l'État chinois, connue sous le nom de RedJuliett, qui visait des dizaines d'organisations à Taïwan, dont des universités, des agences d'État, des fabricants d'électronique et des organisations religieuses.

Comme beaucoup d'autres acteurs chinois de la menace, les chercheurs pensent que le groupe a probablement ciblé des vulnérabilités dans des dispositifs orientés vers Internet, tels que des pare-feu et des VPN d'entreprise, pour l'accès initial, car ces dispositifs ont souvent une visibilité et des solutions de sécurité limitées.

En août, un institut de recherche affilié au gouvernement taïwanais et travaillant sur des technologies sensibles a été violé par l'un des groupes de pirates les plus célèbres de la Chine, APT41. Les pirates ont déployé le logiciel malveillant ShadowPad et plusieurs outils supplémentaires écrits en chinois simplifié.

Source : rapport d'analyse

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des techniques exploitées par les pirates pour déployer la porte dérobée Msupedge ?
Quelles sont les habitudes que les utilisateurs et les organisations peuvent adopter pour se prémunir de ce type d'attaque ?
Selon vous, qu'est-ce qui pourrait expliquer l'augmentation des attaques de logiciels malveillants au cours des dernières années ?
Les pratiques en matière de sécurité ont-elles du plomb dans l'aile ? Ont-elles été dépassées par les efforts des acteurs de la menace ?

Voir aussi

Les attaques de ransomware augmentent de plus de 60 %, "les gangs de ransomwares ont le temps et la motivation de leur côté et évoluent constamment pour répondre aux dernières technologies"

Un groupe de renseignement iranien est pointé comme responsable du piratage de l'équipe de campagne de Donald Trump, selon un récent rapport du groupe d'analyse de menaces de Google

Comment la cybersécurité doit-elle évoluer après la panne de CrowdStrike ? Microsoft organise un sommet à l'intention des entreprises pour discuter de l'amélioration de la résilience des logiciels

[Christ D]

Mon avis sur le sujet ?
Utiliser windows en tant que serveur web php est une ânerie monumentale (sauf s'il s'agit d'un serveur destiné au développement en local, non accessible par internet)
php, et apache se marient parfaitement avec Linux , pourquoi utiliser windows en environnement de production ?

De plus, les "exploitants" de php font souvent la même erreur que ceux qui exploitent Mysql
Il restent sur des versions anté-diluviennes (comme MySQL 5.6 ou php5.6, php 7.x etc... )

Ca fait bien longtemps qu'on a abandonné en production le mode php-cgi pour utiliser php-fpm (php-fastcgi process manager) et on est en php 8.x (sortie en 2020) depuis 2021.

Mais évidement pour pouvoir monter sereinement en version de php il faut :
- avoir écrit du code propre
- éviter les raccourcis que php a longtemps permis.
- faire régulièrement des audits de codes de sorte que les scripts puissent évoluer au file de l'eau sans que cela ne représente une surcharge de travail à échéance.

[rsuinux]

@christ d
Utiliser windows en prod? Je le vois tous les jours pour mon chu.
Pour les mises a jours c'est le merdier.
Les app sont infernales a mettre a mettre a jour parce que mes fournisseurs n'ont pas les ressources humaines pour le faire en temps et en heure quand il y a une faille (et même quand il y a nécessité parfois.... Un humain coûte cher).
Quand a bien programmer pour que ce soit rapide...
Sans commentaire. A force d'ajouter des fonctionnalités sans optimiser ben ça rame.
Oui je suis violant.mais l'exploitation a la DSI avec c'est système est pénible . ( J'ai un apache version 2.1.1 en cours d'utilisation)

[oooopppp]

Je me suis fait un petit tracker de requêtes http sur mon site
et je liste toutes les IPs et les requêtes qu'ils font.

Dans la journée, j'ai au moins 5 attaques concernant Wordpress, sans compter les tentatives d'injection SQL et le reste.

J'ai décidé de faire du reverse IP pendant un moment, de contacter les hébergeurs
et de les menacer (gentiment) de porter plainte contre eux car ils fournissent un support informatique aux attaquants,
ils peuvent donc être considérés comme complices (voir ce qui arrive au gars de Telegram)
tout en leur donnant les IPs incriminées.

Résultat 99% des hébergeurs s'en cognent, en première place Microsoft Azure, Vultr (nid à hackers) et d'autres.

En fait, j'ai finit par croire qu'ils encouragent le fait que des gens hébergés chez eux fassent des centaines de requêtes
vers un même site web (par jour), ma conclusion est que ça augmenterait les frais facturés sur un serveur cloud (mais pt je me trompe)
où tu es facturé à l'usage.

Je me dis, c'est bien fait pour leur gueule, on essaie de contribuer à faire cesser les attaques, ils s'en branlent.

Et bien le jour où tout le monde se rendra compte que Linux, c'est l'informatique du siècle, ils regretterons amèrement,
ou alors le jour où ils se retrouveront en procès car un couillon hébergé chez eux à fait chier une connaissance à un sénateur ou chépa quoi
qui a un peu de pouvoir politique, ça sera pas la même.

Même en France, si tu veux dénoncer un phishing ou une tentative de hack, lève-toi tôt mon ami car
la procédure te fera regretter d'avoir voulu sauver des petits vieux de se faire siphonner leur compte.

Et après on vient nous faire chier (mais sérieusement!) à chaque site web pour des histoire de coockies !

Mais dormons bien, "on nous protège !".

Note: encore une merde pour Windaube - Cheh !

[TotoParis]

C'est quoi ce charabia : "Un acteur de la menace inconnu a récemment déployé une nouvelle porte dérobée baptisée Msupedge sur les systèmes Windows d'une université à Taïwan."
La phrase originale : A previously unseen backdoor (Backdoor.Msupedge) utilizing an infrequently seen technique was deployed in an attack against a university in Taiwan.
Et sa traduction correcte : Une porte dérobée inédite (Backdoor.Msupedge) utilisant une technique rarement vue a été déployée lors d'une attaque contre une université à Taiwan.

[NocKs]

il est extraiment impordant de mettre a jour continuellement nos version en ce qui concerne php pour palier aux failles de securité decouvertent par les hackers car chaque mise a jour vient comme un corrective a une faille