Bulletins

Le malware Zerobot se propage désormais en exploitant les vulnérabilités d'Apache

bs1.jpg

Le botnet Zerobot a été mis à niveau pour infecter de nouveaux appareils en exploitant des vulnérabilités de sécurité affectant les serveurs Apache exposés à Internet et non corrigés. Cette dernière version ajoute de nouvelles capacités de déni de service distribué (DDoS).

Zerobot est en développement actif depuis le mois de novembre, les nouvelles versions ajoutant de nouveaux modules et fonctionnalités pour étendre les vecteurs d'attaque du botnet et faciliter l'infection de nouveaux appareils, notamment des pares-feux, des routeurs et des caméras. Une fois qu'il a infecté un système, il télécharge un script nommé "zéro" qui lui permettra de s'auto-propager vers des appareils plus vulnérables exposés en ligne.

Depuis début décembre, les développeurs du malware ont supprimé les modules qui ciblaient les serveurs phpMyAdmin, les routeurs domestiques Dasan GPON et les routeurs sans fil D-Link DSL-2750B avec des exploits vieux d'un an.

La mise à jour repérée par Microsoft ajoute de nouveaux exploits à la boîte à outils du malware, lui permettant de cibler sept nouveaux types de dispositifs et de logiciels, y compris des serveurs Apache et Apache Spark non corrigés (CVE-2022-33891).

Les chercheurs de Microsoft ont également trouvé de nouvelles preuves que Zerobot se propage en compromettant des appareils présentant des vulnérabilités connues qui ne sont pas incluses dans le binaire du malware, comme CVE-2022-30023, une vulnérabilité d'injection de commande dans les routeurs Tenda GPON AC1200.

Le malware mis à jour est désormais doté de sept nouvelles capacités DDoS, dont les méthodes d'attaque sont :

  • UDP_RAW Envoie des paquets UDP dont la charge utile est personnalisable.
  • ICMP_FLOOD Supposé être un flood ICMP, mais le paquet est construit de manière incorrecte.
  • TCP_CUSTOM Envoie des paquets TCP dont la charge utile et les drapeaux sont entièrement personnalisables.
  • TCP_SYN Envoie des paquets SYN.
  • TCP_ACK Envoie des paquets ACK.
  • TCP_SYNACK Envoie des paquets SYN-ACK.                                                      
  • TCP_XMAS Attaque que tous les drapeaux TCP sont activés et le champ de cause de réinitialisation est "xmas".